MỤC LỤC

PHẦN VI: THUYẾT MINH DỰ ÁN.....................................................................3

A. Tổng quan về giải pháp và hệ thống
3
I. Tổng quan về giải pháp
3
II. Mô hình triển khai sơ bộ
3
1. Mô hình triển khai sơ bộ
3
2. Các thành phần chính của hệ thống
5
3. Thiết bị xác thực tập trung
5
4. Thiết bị sinh OTP
6
B. Các yêu cầu về giải pháp và hệ thống
6
I. Yêu cầu về giải pháp OTP
6
1. Khả năng đáp ứng và mở rộng
6
2. Khả năng sẵn sàng cao HA
6
3. Năng lực xử lý xác thực của giải pháp
7
4. Khả năng chuyển đổi và tích hợp hệ thống
7
5. Hỗ trợ các thuật toán xác thực và các loại token khác nhau
8
6. Hỗ trợ các cơ sở hạ tầng thông tin
8
7. Hệ điều hành
8
8. Cở sở dữ liệu
8
9. Phần mềm ứng dụng
9
10. Các chứng chỉ/chứng nhận
9
11. Yêu cầu về kiểm thử trước khi triển khai
9
12. Yêu cầu tính năng của hệ thống
9
II. Yêu cầu đối với các thiết bị
11
1. Yêu cầu chung đối với các thiết bị..................................................................11
2. Danh mục các thiết bị.....................................................................................11
3. Yêu cầu cấu hình chi tiết của các thiết bị........................................................12
3.1. Thiết bị xác thực tập trung..............................................................................12
3.2. Thiết bị sinh OTP dựa trên phần cứng không có mã PIN...............................15
3.3. Thiết bị sinh OTP dựa trên phần cứng có mã PIN và chữ ký động.................16
3.4. Thiết bị đầu đọc thẻ thông minh EMV hỗ trợ sinh OTP.................................17
III. Yêu cầu đối với phần mềm...........................................................................18
1. Yêu cầu chung................................................................................................18
2. Danh mục giải pháp và phần mềm..................................................................18
3. Yêu cầu chi tiết về giải pháp và phần mềm xác thực tập trung.......................19
3.1. Yêu cầu chung về giải pháp và phần mềm xác thực tập trung........................19
3.2. Yêu cầu các chức năng phần mềm xác thực tập trung....................................19
4. Phần mềm sinh OTP cho thiết bị di động.......................................................22
IV. Yêu cầu về cung cấp và triển khai giải pháp..............................................24
1. Yêu cầu chung về cung cấp và triển khai giải pháp........................................24
2. Yêu cầu về tổ chức triển khai.........................................................................24
2.1. Đối với các thiết bị, phần mềm hệ thống và phần mềm tiêu chuẩn.................24
2.2. Đối với các phần mềm ứng dụng....................................................................24
3. Yêu cầu về tích hợp........................................................................................25
3.1. Tích hợp với hệ thống OTP hiện có của Agribank..........................................25
3.2. Tích hợp với các hệ thống ứng dụng của Agribank........................................25
3.3. Tích hợp với hệ thống SAN và Backup của Agribank....................................25
4. Yêu cầu về chuyển giao công nghệ.................................................................25
4.1. Yêu cầu về chuyển giao các tài liệu liên quan................................................25
4.2. Yêu cầu về tổ chức đào tạo.............................................................................25
4.3. Yêu cầu về chuyển giao..................................................................................26
5. Yêu cầu về bảo hành và hỗ trợ hệ thống.........................................................26
5.1. Các công việc bảo hành và hỗ trợ hệ thống....................................................26
5.2. Thời gian bảo hành, phương thức hỗ trợ hệ thống..........................................27
PHẦN V: TỔNG MỨC ĐẦU TƯ.........................................................................27
V. Tổng mức đầu tư...........................................................................................27
1. Chi phí mua sắm và triển khai........................................................................27
1.1. Chi phí thiết bị................................................................................................27
1.2. Chi phí phần mềm...........................................................................................28
1.3. Chi phí cung cấp và triển khai giải pháp.........................................................28
2. Tổng mức đầu tư.............................................................................................28

Trang 2
PHẦN VI: THUYẾT MINH DỰ ÁN

Trang 3
 A. Tổng quan về giải pháp và hệ thống
I. Tổng quan về giải pháp
Để cung cấp cho một số lượng lớn khách hàng cá nhân, doanh nghiệp phương
thức xác thực đăng nhập sử dụng các dịch vụ, tiện ích của Agribank một cách an toàn,
bảo mật qua mạng công cộng, đồng thời đáp ứng được các yêu cầu đa dạng của các
khách hàng. Dự án này đề xuất trang bị một số thiết bị xác thực tập trung, thiết bị bảo
mật, phần mềm, bản quyền cho người sử dụng, dịch vụ hỗ trợ từ chính hãng, đào tạo
cán bộ quản trị và triển khai dự án. Hệ thống được trang bị phải hội đủ những tính
năng như sau:
- Hỗ trợ tất cả các kiểu thiết bị OTP hiện có như token cứng, mobile token,
phần mềm token .... và hỗ trợ cả thiết bị của các hãng khác nhau.
- Cho phép thực hiện trên nhiều kênh dịch vụ khác nhau như qua mobile, máy
tính cá nhân, máy tính bảng, qua điện thoại ...
- Có khả năng tích hợp được với các dịch vụ ngân hàng điện tử, thương mại
điện tử hoặc các ứng dụng khác; có thể ứng dụng cho các phân vùng khác nhau, các
nghiệp vụ khác nhau.
- Hỗ trợ nhiều công nghệ xác thực khác nhau như PKI, OATH, CAP, ...

Mô hình tổng quan kiến trúc chức năng, công nghệ giải pháp

II. Mô hình triển khai sơ bộ

1. Mô hình triển khai sơ bộ
a) Mô hình

Trang 4
 (Mô hình triển khai sơ bộ)
b) Thuyết minh mô hình triển khai sơ bộ:
- Khách hàng sử dụng một trình duyệt (ứng dụng người dùng cuối) để giao
tiếp với các máy chủ ứng dụng dịch vụ của Ngân hàng với việc phải cung cấp mật
khẩu một lần/chứng thư số.
- Các máy chủ ứng dụng của Ngân hàng giao tiếp với Thiết bị xác thực OTP
thông qua giao thức bảo mật SSL (qua các API) hoặc giao thức Radius.
- Thiết bị xác thực OTP được cấu hình với chế độ HA, theo đó trong trường
hợp thất bại trong việc đáp ứng của một trong các Thiết bị xác thực, hệ thống sẽ tự
động chuyển sang Thiết bị xác thực còn lại để thực hiện. Các máy chủ ứng dụng có thể
được cấu hình chạy chế độ phân tải đến Thiết bị xác thực OTP thông qua các API.
- Hệ thống thiết kế mở để có thể bổ sung được Thiết bị xác thực cho việc dự
phòng khôi phục thảm họa, các Thiết bị xác thực chính có cơ chế đồng bộ hóa các dữ
liệu người dùng tới Thiết bị xác thực bên dự phòng.
- Trong trường hợp chưa triển khai được hệ thống phục hồi thảm họa, Ngân
hàng có thể áp dụng cơ chế sao lưu dự phòng thông qua một máy chủ khác với lịch sao
lưu được thiết lập theo thời gian.
- Bộ phận quản trị viên và hỗ trợ sẽ quản lý người dùng và các thiết bị sinh
OTP thông qua hệ thống máy tính tại văn phòng làm việc có kết nối đến các Thiết bị
xác thực thông qua giao thức SSL và cơ chế xác thực thông qua OTP. Hệ thống phải
có cơ chế phân chia và hỗ trợ quản trị theo nhiều domain khác nhau.
- Với bộ phận quản lý an ninh hệ thống có thể kết nối trực tiếp vào Thiết bị
xác thực thông quan trình duyệt sử dụng giao thức HTTPS.
c) Khả năng nâng cấp, mở rộng hệ thống:

Trang 5
 - Mô hình giải pháp sơ bộ được thiết kế có thể đáp ứng được năng lực xử lý
cho lên đến 25 triệu khách hàng và ít nhất là 1.600 xác thực trên giây. Hệ thống được
đầu tư ban đầu có khả năng đáp ứng tăng trưởng khách hàng lên đến 10 triệu.

(Mô hình giải pháp nâng cao năng lực xử lý và mở rộng hệ thống)
- Giải pháp cung cấp tính mở, cho phép khả năng mở rộng đến 6 thiết bị xác
thực chạy chế độ clustering với nhau trên một site và kết nối nhiều site với nhau. Cơ
chế đồng bộ sẽ đồng bộ các thiết bị xác thực và các site với nhau theo thời gian thực.
2. Các thành phần chính của hệ thống
Hệ thống xác thực mật khẩu một lần hai nhân tố được đưa ra trong giải pháp bao
gồm các thành phần sau:
- Thiết bị xác thực tập trung: bao gồm máy chủ, phần mềm hệ điều hành, phần
mềm ứng dụng, cơ sở dữ liệu và mô đun bảo mật.
- Token cứng, Token mềm (SMTP/SMS/Software).
3. Thiết bị xác thực tập trung
Thiết bị xác thực tập trung là máy chủ dạng cứng hóa (appliance), có cấu hình và
các cấu phần đủ mạnh để đảm bảo năng lực xử lý, tính an toàn, tính sẵn sàng cao và
khả năng dễ dàng mở rộng trong tương lai. Các thành phần gồm có:
- Phần cứng máy chủ.
- Phần mềm hệ điều hành được tích hợp sẵn dựa trên nền phần cứng máy chủ
và được cấu hình cơ chế bảo mật ở mức cao nhất, lược bỏ những ứng dụng và dịch vụ
không cần thiết hoặc không liên quan đến hệ thống xác thực.

Trang 6
 - Cơ sở dữ liệu được tích hợp sẵn hoặc được cài đặt và cấu hình lưu trữ ra bên
ngoài khi triển khai hệ thống. Trong trường hợp cơ sở dữ liệu được cài đặt và cấu hình
lưu trữ ra bên ngoài thì nhà cung cấp phải đề xuất phương án thực hiện và phương án
phải được Agribank chấp nhận. Cơ sở dữ liệu được cấu hình an ninh bảo mật ở mức
cao và được lược bỏ những dịch vụ không cần thiết để tăng mức độ an ninh cho hệ
thống.
- Phần mềm ứng dụng của hệ thống có đầy đủ các tính năng cơ bản của giải
pháp đảm bảo ứng dụng xác thực được các loại token khác nhau, của các hãng khác
nhau, và có đầy đủ tính năng quản lý phát hành OTP token, tính năng quản trị vòng
đời của OTP token. Các tính năng quản trị phải quản lý được nhiều loại token khác
nhau như phần cứng, phần mềm, tin nhắn, SMTP, 3D secured, CAP... cho nhiều người
dùng khác nhau. Có thể quản lý token một cách tập trung và độc lập theo các miền
khác nhau, quản lý được lý cấu hình hệ thống và cấu hình thiết bị, sinh báo cáo... Giao
diện quản trị dựa trên web/console có bảo mật và xác thực.
- Mô đun bảo mật bao gồm:
+ Thiết bị HSM đạt chuẩn FIPS140-2 level 3 để lưu trữ khóa bảo mật, xử lý
mã hóa, xử lý xác thực và xử lý ký cho hệ thống.
+ Các thư viện API để bảo mật máy chủ ứng dụng nhằm cung cấp một cơ chế
bảo mật hai chiều theo giao thức SSL/Radius để mã hóa truyền thông giữa các máy
chủ với nhau, cơ chế này cũng cung cấp cách thức để điều khiển thay đổi cấp độ xác
thực, tích hợp token với quản lý định danh người dùng cũng như bảo đảm cho việc
quản trị hệ thống.
+ Các API để mã hóa đường truyền trong kết nối từ điểm cuối đến điểm cuối
nhằm bảo đảm mọi dữ liệu truyền thông đều được mã hóa (như mật khẩu truy cập,
OTP...) hoặc cung cấp cơ chế để bảo đảm chống lại các cuộc tấn công phát lại (replay)
và chính sách mật khẩu bắt buộc đối với ứng dụng.
4. Thiết bị sinh OTP
Thiết bị sinh OTP được trang bị gồm:
- Token cứng chỉ trả lời không có mã PIN và chữ ký động;
- Token cứng có mã PIN và chữ ký động;
- Token mềm gồm phần mềm Token cho điện thoại di động, SMS token...;
- Token được sinh ra khi sử dụng đầu đọc và thẻ thông minh EMV CAP,
PLA, DPA tokens.

B. Các yêu cầu về giải pháp và hệ thống

I. Yêu cầu về giải pháp OTP
1. Khả năng đáp ứng và mở rộng
- Giải pháp được đề xuất phải đáp ứng đầy đủ các nội dung tại mô hình tổng
quan và mô hình triển khai sơ bộ đã được nêu tại mục A phần VI.
- Giải pháp phải đảm bảo thiết kế có tính mở nhằm đáp ứng yêu cầu tăng
trưởng và phát triển mở rộng hệ thống, đảm bảo việc nâng cấp hay bổ sung các thiết bị
phần cứng như: máy chủ, tủ đĩa, bổ sung bản quyền và thiết bị sinh khóa.

Trang 7
 - Giải pháp phải có các chức năng quản trị tập trung, cho phép phân tán quản
lý người dùng và token theo domain nhưng đảm bảo khả năng quản trị theo nhiều
domain khác nhau.
2. Khả năng sẵn sàng cao HA
- Giải pháp phải thiết kế được khả năng sẵn sàng cao cho hệ thống, các thiết bị
xác thực tập trung được cấu hình HA chạy chế độ clustering.
- Các thiết bị xác thực tập trung phải được cấu hình cân bằng tải.
- Giải pháp đề xuất có khả năng hỗ trợ các nâng cấp phần cứng và bảo trì mà
không làm gián đoạn các dịch vụ đang hoạt động.
- Trong trường hợp có lỗi hệ thống, hệ thống phải có khả năng tự động chuyển
từ hệ thống chính sang hệ thống dự phòng (fail-over) để hoạt động không bị gián đoạn.
- Giải pháp đề xuất phải hỗ trợ cấu hình các thay đổi hệ thống được thực hiện
mà không phải tạm ngừng hoạt động của hệ thống.
- Giải pháp đề xuất phải chứng minh được cơ chế tự động sao lưu dữ liệu giữa
thiết bị xác thực tập trung chính và dự phòng, cơ chế sao lưu offline backup ra ngoài
hệ thống... và cơ chế phục hồi dữ liệu của hệ thống khi có sự cố.
- Giải pháp phải chứng minh có thể triển khai được cơ chế phục hồi thảm họa
cho hệ thống và có thể mở rộng trong tương lai.
3. Năng lực xử lý xác thực của giải pháp
- Giải pháp thiết kế cho dự án này phải đáp ứng được năng lực xử lý xác thực
và khả năng tăng trưởng của hệ thống trong tương lai. Giải pháp phải có khả năng mở
rộng và nâng cấp để đáp ứng được năng lực xử lý xác thực tối thiểu:
+ Đảm bảo 1600 kiểm chứng xác thực OTP/s.
+ Khả năng mở rộng lên đến 25.000.000 người dùng.
+ 400 xác thực mã hóa từ điểm cuối đến điểm cuối trên giây.
+ Hệ thống chạy chế độ clustering: hỗ trợ đến 06 thiết bị xác thực/site.
- Thiết kế triển khai ban đầu của dự án phải đáp ứng được năng lực xử lý xác
thực tối thiểu:
+ 400 kiểm chứng xác thực OTP/s.
+ Đáp ứng 10.000.000 người dùng.
+ 200 xác thực mã hóa từ điểm cuối đến điểm cuối trên giây (end-to-end
encrystion RSA-1024).
+ 5.000 phiên kết nối trong cùng thời điểm.
4. Khả năng chuyển đổi và tích hợp hệ thống
- Giải pháp phải đảm bảo qúa trình chuyển đổi phương thức xác thực (mật
khẩu tĩnh, hoặc kết hợp mật khẩu tĩnh với một phương pháp khác...) của các ứng dụng
nghiệp vụ hiện tại sang xác thực mật khẩu một lần diễn ra mà không ảnh hưởng đến
các hoạt động hiện tại của khách hàng và ngân hàng.
- Giải pháp phải hỗ trợ tích hợp thương mại điện tử như các phương thức 3D
Secured gồm Token cứng, token mềm, SMS, SMTP, Card reader...
- Giải pháp phải cung cấp đầy đủ các thư viện, Toolkit (như Authentication
toolkit - ATK) để tích hợp thương mại điện tử, phương thức 3D Secured và các
phương thức EMV CAP, PLA, DPA...

Trang 8
 - Giải pháp phải cung cấp các thư viện API/SDK để tích hợp vào hạ tầng công
nghệ VPN, LDAP, windows, các thiết bị mạng truyền thông, bảo mật ... tích hợp được
với các cổng SMS, SMTP gateway...
- Giải pháp phải cung cấp thư viện SDK cho Agribank để thực hiện tích hợp
vào các ứng dụng nghiệp vụ hiện có của ngân hàng, hệ thống ngân hàng điện tử (sms
banking, mobile banking, internet banking...).
- Giải pháp phải cung cấp miễn phí khung ứng dụng (application framework)
cho phép ngân hàng có thể triển khai phương thức bảo mật cho các ứng dụng ngân
hàng trực tuyến tới thiết bị người dùng cuối một cách nhanh nhất.
5. Hỗ trợ các thuật toán xác thực và các loại token khác nhau
- Hỗ trợ chuẩn mở: OATH (TOTP, HOTP), OCRA;
- Hỗ trợ các thuật toán của các hãnh khác nhau như: VASCO, Safenet, RSA
SecurID (SAE Libraries), MasterCard CAP, Dynamic Signature...
- Hỗ trợ nhiều loại token khác nhau:
+ Hỗ trợ Token cứng: OATH HOTP & TOTP, OCRA, EMV CAP, Vasco
Digipass, RSA SecuriD, Safenet...
+ Token mềm: SMS OTP, Mobile OTP, Software OTP, Certificate,
Challenge/Response.
6. Hỗ trợ các cơ sở hạ tầng thông tin
Giải pháp/thiết bị xác thực phải có khả năng hỗ trợ các hạ tầng công nghệ:
- Các máy chủ web và máy chủ ứng dụng phổ biến hiện nay là IIS, apache,
Tomcat, IBM websphere và oracle weblogic...
- Các mạng riêng ảo VPN, LDAP
- Hỗ trợ Radius clients, CA SiteMinder...
- Hỗ trợ đa ngôn ngữ.
- Tích hợp với hệ thống quản lý nhằm giúp sao lưu, phục hồi, tải (download)
lịch sử thông qua các hàm API. Cho phép hệ thống quản lý thực hiện việc sao lưu dữ
liệu theo cách thông thường hoặc theo lịch được đặt trước.
- Bảo vệ an toàn cho mật khẩu tĩnh, chống lại sự tấn công trên đường truyền
7. Hệ điều hành
- Giải pháp phải cung cấp hệ điều hành kèm theo thiết bị xác thực phù hợp với
giải pháp được đề xuất.
- Hệ điều hành có thể được lược hóa những tính năng hoặc dịch vụ không
dùng đến, nhằm làm tăng khả năng an ninh bảo mật cho hệ thống; tính năng filtering
Firewall phải được tích hợp trong hệ điều hành.
- Hệ điều hành phải hỗ trợ giải pháp để thực thi cấu hình chế độ HA của thiết
bị xác thực tập trung, mô đun bảo mật và phần mềm ứng dụng.
8. Cở sở dữ liệu
- Giải pháp phải cung cấp cơ sở dữ liệu nhúng sẵn hoặc độc lập kèm theo thiết
bị xác thực phù hợp với giải pháp đã đưa ra.
- Hệ quản trị cơ sở dữ liệu có khả năng lưu trữ dữ liệu cho hệ thống xác thực
với quy mô ban đầu đến 10 triệu khách hàng và có khả năng mở rộng đến trên 25 triệu
khách hàng.

Trang 9
 - Hệ quản trị cơ sở dữ liệu có thể được cấu hình để bỏ bớt những dịch vụ
không cần thiết, hoặc những đặc tính mặc định; cấu hình an ninh cho hệ quản trị cơ sở
dữ liệu để đảm bảo an ninh an toàn.
- Trường hợp Agribank có yêu cầu khác về cơ sở dữ liệu và hệ quản trị cơ sở
dữ liệu thì nhà cung cấp có trách nhiệm tích hợp với hệ thống.
9. Phần mềm ứng dụng
- Phần mềm ứng dụng xác thực hai nhân tố cho hệ thống đảm bảo phù hợp với
giải pháp đã đưa ra.
- Phần mềm ứng dụng được đề xuất có thể được nhúng sẵn (embebed) hoặc
được cung cấp độc lập và được cài đặt trong giai đoạn triển khai.
- Hỗ trợ HSM và nhúng sẵn Software HSM.
10. Các chứng chỉ/chứng nhận
- Giải pháp/hệ thống phải được chứng nhận (hoặc xác nhận) về khả năng tích
hợp bởi tối thiểu một trong các tổ chức sau:
+ RSA;
+ MasterCard đối với EMV CAP;
- Giải pháp phải được chứng nhận (hoặc xác nhận) đối với việc đáp ứng tiêu
chuẩn cho xác thực mở OATH.
- Giải pháp/hệ thống phải đáp ứng được các yêu cầu về an toàn bởi một trong
các tiêu chuẩn sau:
+ FFIEC (the US);
+ MAS IBTRM (Singapore);
+ HIPAA;
+ Other industry-specific regulations.
11. Yêu cầu về kiểm thử trước khi triển khai
Giải pháp phải cho phép tùy chỉnh và cấu hình các tham số yêu cầu như:
- Dự kiến số lượng xác thực trong cùng một thời điểm = Số lượng user đăng
nhập /giây.
- Dự kiến tổng số lượng người dùng = Tổng số lượng user bao gồm cả những
user hoạt động và không hoạt động (inactive, revoke, delete...) trong hệ thống.
- Dự kiến tổng số lượng người sử dụng và có hoạt động (Active) xác thực = Số
user còn hoạt động.
- Dự kiến tổng số người dùng cho doanh nghiệp = Số user của khách hàng.
- Dự kiến tổng số người dùng sử dụng và có hoạt động (Active) xác thực trong
doanh nghiệp = Số user của khách hàng còn hoạt động.
- Giải pháp phải được kiểm thử để đánh giá mức độ đáp ứng yêu cầu (UAT)
qua mô phỏng hoặc thí điểm.
12. Yêu cầu tính năng của hệ thống
Các tính năng chính của hệ thống xác thực hai nhân tố gồm:
- Hệ thống thực hiện mã hóa mật khẩu từ đầu đến cuối E2E trước khi truyền từ
trình duyệt đến máy chủ dựa trên thuật toán RSA.
- Hệ thống xác thực phải có khả năng triển khai đa miền (multi- domain) quản
trị.

Trang 10
 - Hệ thống xác thực có khả năng hỗ trợ thiết bị Token của bên thứ 3 (Third
Party Token Vendor)
- Hệ thống xác thực có kiến trúc kết nối được các plug -in. Cho phép việc triển
khai các Plug-in mới khi có thuật toán OTP mới cần được hỗ trợ.
- Thiết bị xác thực phải hỗ trợ trong việc gửi SMS qua cổng tin nhắn
(Gateway) hoặc cổng SMTP do ngân hàng cung cấp.
- Hệ thống xác thực có thể xử lý các yêu cầu để tạo ra tin nhắn SMS OTPs
- Hệ thống phải có cơ chế đảm bảo việc truyền dữ liệu qua phương thức SMS
được an toàn. Ví dụ cơ chế cảnh báo cổng SMS bị lỗi, không hoạt động hoặc các tin
nhắn đang ở chế độ Pending ...
- Nhà cung cấp cần nêu rõ và giải thích trong giải pháp được đề xuất
- Hệ thống xác thực có thể xử lý các yêu cầu để xác nhận mã OTPs (Tất cả các
loại token)
- Hệ thống xác thực có thể hỗ trợ OTPs được sử dụng cho mục đích đăng nhập
và cho các giao dịch có giá trị cao hoặc thay đổi các thông tin nhạy cảm.
- Hệ thống xác thực sẽ đánh dấu tài khoản người dùng là không hoạt động sau
khoảng một số ngày. Việc cấu hình này có thể tùy chỉnh trong quá trình quản lý hệ
thống thực tế.
- Hệ thống xác thực sẽ vô hiệu hóa tài khoản người dùng sau một số lần đăng
nhập hoặc cấu hình không thành công. Việc cấu hình này có thể tùy chỉnh trong quá
trình quản lý hệ thống trong thực tế.
- Hệ thống xác thực sẽ hỗ trợ cấu hình thời hạn hiệu lực của mật khẩu một lần
OTP theo bội số của bước thời gian)
- Đối với thời gian đồng bộ của thiết bị token với máy chủ, Thiết bị xác thực
sẽ hỗ trợ cấu hình của bước thời gian/ khoảng thời gian được sử dụng trong thuật toán
sinh OTP (Ví du: 30 giây hoặc 1 phút cho thời gian hiệu lực của số OTP)
- Hệ thống xác thực có thể thực hiện đồng bộ hóa lại để phù hợp với sự khác
biệt về thời gian giữa thiết bị Token và thời gian trên máy chủ (có thể được cấu hình)
bằng cách điều chỉnh thời gian bằng cách điều chỉnh thời gian giữa OTP token và thời
gian của máy chủ
- Tất cả các yêu cầu gửi đến và phản hồi gửi đi được lưu vết qua Thiết bị xác
thực. Tính đầy đủ của các bản ghi có thể cấu hình (Ví dụ: Gỡ lỗi, cánh báo, thông tin
định danh)
- Định dạng của báo cáo có thể được cấu hình, tùy chỉnh
- Đối với SMS OTPs, nếu trong trường hợp có nhiều OPTs ở trạng thái chờ
(pending), chỉ có số OTPs mới nhất mới có hiệu lực
- Số OTPs khởi tạo bởi các phương thức sinh OTP khác nhau (SMS, Token..)
phải độc lập, tức là một tin nhắn SMS không thể được sử dụng khi người dùng đăng
ký xác thực bằng thiết bị Token cứng hoặc ngược lại.
- Các OTP phải sử dụng duy nhất cho một mục đích để ngăn trặn tấn công lặp
lại.
- Hệ thống xác nhận sẽ xử lý các trường hợp ngoại lệ bằng cách tạo ra một
phản hồi phù hợp trong trường hợp không gửi được tin nhắn SMS (ví dụ máy chủ
SMS bị lỗi hoặc không có sẵn).

Trang 11
 - Hệ thống xác thực sẽ khởi tạo báo cáo kiểm tra cho tất cả các truy nhập
không thành công, các truy nhập trên sẽ tiếp tục tồn tại trọng một vùng lưu trữ để dễ
dàng khôi phục hoặc thu hồi.
- Với SMS OTPs, máy chủ xác nhận sẽ đáp ứng cho các trường hợp số điện
thoại được cung cấp bởi người dùng hoặc lấy từ kho lưu trữ của máy chủ
- Đối với SMS OTPs, Hệ thống phải có khả năng định tuyến các tin nhắn đến
các cổng tin nhắn địa phương (Local Gateway) để đảm bảo không phát sinh chi phí
ngoài vùng cho việc gửi các tin nhắn SMS.
- Hệ thống có thể phát hiện và cảnh báo tới người dùng mọi sự sai lệch hoặc
các giao dịch giả mạo trong quá trình truyền tin.
- Hệ thống xác thực 2 yếu tố phải có khả năng được triển khai như một phần
của giải pháp doanh nghiệp và được triển khai qua giao thức Radius, LDAP...
- Hệ thống xác thực 2 yếu tố có khả năng tích hợp với các giải pháp xác thực 2
yếu tố sẵn có tại ngân hàng/hoặc có thể được sử dụng như một máy chủ xác thực trung
gian qua giao thức Radius.
- Hệ thống có khả năng hỗ trợ/tích hợp các giải pháp xác thực PKI trên nền hệ
thống giải pháp xác thực.
II. Yêu cầu đối với các thiết bị
1. Yêu cầu chung đối với các thiết bị
- Các thiết bị do Nhà thầu cung cấp phải có nguồn gốc xuất xứ rõ ràng, có
chứng nhận xuất xứ (CO) và chất lượng sản phẩm (CQ) của chính hãng sản xuất, thiết
bị phải nguyên bản mới 100%, nguyên đai nguyên kiện. Thiết bị được sản xuất trước
tối đa không quá 8 tháng kể từ ngày ký hợp đồng.
- Các thiết bị cung cấp phải kèm các tài liệu xác định tính phù hợp của thiết bị
như: Các catalog hoặc địa chỉ các Website của nhà sản xuất thiết bị giới thiệu về công
nghệ tính năng kỹ thuật của thiết bị.
- Đơn vị cung cấp phải đảm bảo Agribank không phải trả thêm bất kỳ khoản
chi phí nào liên quan đến bản quyền, các bí mật công nghệ, các sáng chế liên quan đến
thiết bị hay phần mềm kèm thiết bị được chế tạo hoặc sử dụng.
- Đơn vị cung cấp phải bồi thường cho Agribank về mọi thiệt hại do khiếu nại
của bên thứ ba (nếu có) đối với việc vi phạm bản quyền sáng chế, nhãn hiệu thương
mại hoặc thiết kế hàng hoá.
2. Danh mục các thiết bị

Trang 12
 ST Tên các thiết bị Số
T lượng
1 Thiết bị xác thực 02 (hai)
tập trung bộ
2 Thiết bị sinh OTP 30.000
dựa trên phần chiếc
cứng không có
mã PIN
3 Thiết bị sinh OTP 1.500
dựa trên phần chiếc
cứng có mã PIN
và chữ ký động
4 Thiết bị đầu đọc 200
thẻ thông minh chiếc
EMV hỗ trợ sinh
OTP
Căn cứ, mục đích trang bị và sử dụng
- Trang bị hệ thống các thiết bị xác thực
tập trung đã bao gồm môđun ký bảo mật
HSM, phần mềm hệ điều hành, cơ sở dữ liệu
cho hệ thống đảm bảo năng lực và tốc độ xử
lý với số lượng lớn người dùng
- Trang bị phần mềm ứng dụng, phần
mềm quản trị hệ thống ứng dụng, quản trị
vòng đời của OTP...
- Trang bị thiết bị sinh OTP dựa trên
phần cứng không có mã PIN để cấp cho khách
hàng của Agribank sử dụng các dịch vụ như
internet banking, CMS, ... thiết bị này hiện
đang được các ngân hàng dùng phổ biến để
cấp cho khách hàng
- Dự án trang bị ban đầu cho các chi
nhánh bình quân khoảng 200 thiết bị để có thể
cung cấp ngay cho khách hàng. Hàng năm tùy
theo nhu cầu sử dụng của khách hàng và mức
độ tăng trưởng khách hàng của các dịch vụ,
chi nhánh sẽ dự trù mua sắm theo cấu hình do
Agribank thông báo hoặc Agribank sẽ trang bị
thêm tập trung và chuyển giao cho chi nhánh.
- Trang bị thiết bị sinh OTP dựa trên
phần cứng có mã PIN và chữ ký động để cấp
cho khách hàng của Agribank sử dụng các
dịch vụ như internet banking, CMS, ...
- Dự án trang bị ban đầu khoảng 1.500
chiếc để triển khai cho khách hàng đồng thời
kiểm thử tính năng ký giao dịch động cũng
như tính năng chống MITM với mã thách thức
của thiết bị khi giao dịch trên mạng hoặc sử
dụng dịch vụ thương mại điện tử.
- Hàng năm tùy theo nhu cầu sử dụng
của khách hàng và mức độ tăng trưởng khách
hàng của các dịch vụ, Agribank hoặc chi
nhánh sẽ dự trù mua sắm theo cấu hình do
Agribank thông báo.
Trang bị Thiết bị đầu đọc thẻ thông minh
EMV hỗ trợ sinh OTP phục vụ triển khai và
thử nghiệm cho khách hàng phương án bảo
mật hai nhân tố kết hợp thẻ EMV do Agribank
phát hành khi giao dịch hoặc sử dụng dịch vụ
Trang 13
thương mại điện tử.

Trang 14
3. Yêu cầu cấu hình chi tiết của các thiết bị
3.1. Thiết bị xác thực tập trung

Trang 15
STT Nội dung Cấu hình/đặc tính kỹ thuật tối thiểu hoặc tương
đương
1 Đặc tính kỹ thuật vật
lý chung:
Form factor Rack mountable
Processor 2x 12-core Intel Xeon E5-2600 V2/V3 Series
Processors
Memory 64GB (UDIMM/RDIMM/LRDIMM/Hyper Cloud
DIMM)
Network interface - 4 × 1 GbE (std.), 2 × 10 GbE Embedded Adapter
(slotless opt.), Trusted platform module (TPM)
- Support HA for NIC
Power supply 2 redundant
PCIe 3.0 Expansion 4 - 6 PCIe 3.0 ports or/and 4 PCI-X (CTO) or/and 2
slots double-width PCIe (for GPU)
Hot-swap components Power supplies, fan modules and hard disk drives
Internal storage 3x600GB
Raid support Integrated 6 Gbps or new optional 12 Gbps*
hardware RAID-0, -1, -10 with optional RAID-5, -
50, -6, -60
Fibre Channel/HBA 02 dual-port 8Gbps FC HBA
Card
HA Support - Support Clustering for high availability and
disaster recovery, disaster recovery.
- Support for distributed load on the system
requirements
2 Cấu phần chính
- Authentication server with web base UI and
Database
- Radius server
- Client API with two ways SSL based
communication support
- End to End encryption (RSA, AES,
SHA1/256/512 encrytion and decryption; remote
digital signature)
3 Xử lý xác thực
- 200 OTP verification per second
- Đáp ứng 5.000.000 khách hàng
- 2.500 concurrent login sessions
- 100 end-to-end Authorizations/sec (RSA-1024)
- 100 RSA-1024 decrypt/sec
4 Hỗ trợ token
- Hardware tokens: OATH HOTP & TOTP,
OCRA, EMV CAP, and other third-party partners
- Software tokens: mobile token, software token,

Trang 16
 SMS token, SMTP token, Certificates...
5 Mô đun bảo mật
- FIPS 140-2 level 3 HSM
- Support Embedded software HSM
6 Hệ điều hành
Hệ điều hành đi kèm thiết bị xác thực, loại bỏ
những dịch vụ không cần thiết, có tính năng
filtering Firewall.
7 Cơ sở dữ liệu
Cơ sở dữ liệu đi kèm thiết bị xác thực.

Trang 17
 Riêng đối với mô đun bảo mật phải đáp ứng được các yêu cầu cụ thể như
sau:
a) Yêu cầu chung
- Các thư viện API phải được cung cấp cho Agribank để tích hợp bảo mật với
các máy chủ ứng dụng. Thư viện phải hỗ trợ các hệ điều hành thông dụng như
Windows, Linux, Solaris, Unix (cả 32&64 bit) và phải hỗ trợ các chuẩn giao tiếp
PKCS#11, Java (JCA/JCE), Microsoft CAPI and CNG, OpenSSL.
- Các thư viện để mã hóa đường truyền trong kết nối từ điểm cuối đến điểm
cuối phải được cung cấp.
- Mô đun mã hóa phải đáp ứng yêu cầu bảo mật giao dịch nâng cao như: bảo
mật end-to-end, hàm thư viện bảo vệ hạ tầng của hệ thống (backend ClientAPI) cho
phép thực hiện bảo mật SSL hai chiều, bảo mật mật khẩu khi truyền thông và lưu trữ.
- HSM phải đạt chuẩn FIPS140-2 level 3.
b) Đặc tính kỹ thuật HSM
- Các tiêu chuẩn của HSM ít nhất phải bằng hoặc cao hơn tiêu chuẩn được quy
định tại thông tư 06/2015/TT-BTTTT ngày 23/3/2015 của Bộ trưởng Bộ thông tin và
truyền thông về quy định danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch
vụ chứng thực chữ ký số; Thông tư 22/2013/TT-BTTTT ngày 23/12/2013 của Bộ
trưởng Bộ thông tin và truyền thông ban hành danh mục tiêu chuẩn kỹ thuật về ứng
dụng công nghệ thông tin trong cơ quan nhà nước;
- HSM phải hỗ trợ các chuẩn giao tiếp phổ biến như PKCS#11, CAPI/CNG,
JCA/JCE, OpenSSL... để người sử dụng có thể dễ dàng tích hợp hệ thống bảo mật
phần cứng này vào các ứng dụng của Ngân hàng;
- Nhà cung cấp phải cung cấp đầy đủ bản quyền và phần mềm cài đặt, phần
thư viện, tài liệu hướng dẫn và các ví dụ mẫu và mã nguồn cho Agribank để thực hiện
tích hợp vào các ứng dụng của ngân hàng;
- Đặc tính kỹ thuật của HSM ít nhất phải đạt được như sau đây:

Trang 18
ST Nội dung Cấu hình/đặc tính kỹ thuật tối thiểu hoặc tương
T đương
1 Năng lực xử lý - 100 RSA-1024 decrypt/sec
- 600 RSA 1024-bit signatures/verification per
second
- 300 Random Number Generation/sec
2 Hỗ trợ hệ điều hành - Windows, Linux, Solaris, unix... (Hỗ trợ cả
32&64bit)
- Phù hợp với giải pháp được đề xuất
3 Hỗ trợ mã hóa - Full Suite B support
- Asymmetric: RSA (1024-8192), DSA (1024-
3072), Diffie-Hellman, KCDSA, Elliptic Curve
Cryptography (ECDSA, ECDH, ECIES) with
named, user-defined and Brainpool curves
- Symmetric: AES, RC2, RC4, RC5, CAST,
DES, Triple DES, ARIA, SEED
- Hash/Message Digest/HMAC: SHA-1, SHA-2
(224-512), SSL3-MD5-MAC, SSL3-SHA-1-MAC
- Random Number Generation: FIPS 140-2
approved DRBG (SP 800-90 CTR mode)
4 Thư viện mã hóa PKCS#11, Java (JCA/JCE), Microsoft CAPI and
CNG, OpenSSL, JCProv
5 Đặc tính vật lý Host Interface: PCI-E, PCI CEM 1.0a
6 Chứng nhận bảo mật - FIPS 140-2 Level 3 HSM for key storage and
scrytographic operations
- Common Criteria EAL4+
- BAC & EAC ePassport Support
7 Hợp chuẩn môi - FCC
trường và an toàn - RoHS
8 Hỗ trợ quản lý, lưu - M of N support for division of command
log và giám sát - Syslog
- SNMPv3
9 Extensive Nhà cung cấp phải cung cấp đầy đủ bộ cài đặt
APIs/Toolkits and driver, Extensive APIs, Toolkits phiên bản mới
Customization nhất của chính hãng cho Agribank

Trang 19
 3.2. Thiết bị sinh OTP dựa trên phần cứng không có mã PIN
a) Loại thiết bị
- Token cứng hoạt động dựa trên cơ chế time-base.
- Có mã PIN / không mã PIN.
- Tự động đồng bộ thời gian với giải pháp Thiết bị xác thực tập trung.
b) Chi tiết đặc tính kỹ thuật
- Thiết bị token có thể chống nước hoặc chống tia nước
- Can thiệp phần cứng: Bất kỳ cố gắng làm hỏng thiết bị token sẽ dẫn đến thiết
bị không hoạt động.
- Rung động: Phải đáp ứng các tiêu chuẩn chống rung động (10 đến 75 Hz, 10
m/s2)
- Có cơ chế bảo vệ khi rơi từ trên cao xuống.
- Tự động tắt nguồn sau khoảng thời gian được cấu hình trước để tiết kiệm pin
và tăng tuổi thọ.
- Thiết bị token hỗ trợ chuẩn xác thực mở OATH (Open Authentication)
- Màn hình hiển thị LCD: 6-8-7 đoạn ký tự và hỗ trợ 4-8 chữ số OTP
- Các thuật toán sử dụng cho tất cả các loại token dựa trên thời gian (Time
base) tức là thời gian đồng bộ của token
- Các thuật toán OTP (s) được sử dụng trong tất cả các loại Token được hỗ trợ
phải được triển khai trước đó và thử nghiệm để sử dụng trong các tổ chức tài chính
(cho cả đăng nhập và giao dịch có giá trị cao / thay đổi thông tin khách hàng nhạy
cảm)
- Các thuật toán OTP phải sử dụng một thuật toán mã hóa mạnh dựa trên các
tiêu chuẩn mở (ví dụ: TOTP), yêu cầu cho biết thuật toán được sử dụng cho mỗi loại
token và/hoặc mô tả các thuật toán trong đó bao gồm các yếu tố đầu vào (các yếu tố
được chia sẻ/không chia sẻ..) được sử dụng để tính toán ra mật khẩu OTP
- Thuật toán OTP có thể tạo ra mật khẩu một lần được đảm bảo là duy nhất và
ngẫu nhiên cho người dùng. Và không khả thi để lấy được dãy số OTP tiếp theo ngay
cả khi có các kiến thức về yếu tố đầu vào (Thuật toán và OTP trước) Miễn là các yếu
tố bí mật được chia sẻ không bị lộ.
- Các yếu tố chia sẻ cho các loại token phải ít nhất là 128-bits. Yêu cầu cho
biết chiều dài của yếu tố được chia sẻ trong giải pháp đề xuất
- Các yếu tố chia sẻ (Giữa thiết bị Token và Thiết bị xác thực) phải khác nhau
với các loại token khác nhau.
- Các yếu tố chia sẻ phải khác biệt trên từng cái token (nghĩa là 2 thiết bị token
không thể có chung yếu tố chia cùng OTPs).
- Với mã OTP token, các yếu tố chia sẻ bí mật không phục hồi được từ bộ
chứa. Yêu cầu giải thích, làm rõ phương thức này.
- Với mã OTP token; trong trường hợp người dùng liên tiếp nhập vào dãy số
không hợp lệ , thiết bị token sẽ bị khóa (vô hiệu hóa) bởi Thiết bị xác thực
- Thiết bị token hỗ trợ các thuật toán mã hóa DES, 3DES và AES
- Số OTP được tạo ra bởi thiết bị token có thể được cấu hình về thời gian hiệu
lực (có thể là 8, 16, 32 giây… do người quản trị cấu hình lúc cài đặt).

Trang 20
 - Thiết bị Token phải có phương thức tự động đồng bộ thời gian với giải pháp
hệ thống Thiết bị xác thực
c) Về mẫu mã, logo
- Đơn vị cung cấp phải thực hiện việc cá thể hóa thiết bị token bao gồm cả nút
bấm của thiết bị theo yêu cầu của ngân hàng như mầu sắc, logo thương hiệu, bao gồm
trên thiết bị và trên cả nút bấm của thiết bị.
- Mặt trước của thiết bị Token có màn hình LCD và mặt sau của Token có in
Serial Number của thiết bị.
- Toàn bộ bề mặt phía trước của thiết bị token phải phủ lớp plastic để bảo vệ,
chống xước màn hình
- Nhà cung cấp phải đóng gói, đóng nhãn hàng hóa khi có yêu cầu
3.3. Thiết bị sinh OTP dựa trên phần cứng có mã PIN và chữ ký động
a) Loại thiết bị
- Token cứng hoạt động dựa trên cơ chế time-base.
- Có mã PIN và hỗ trợ challenge-response và ký giao dịch
- Tự động đồng bộ thời gian với giải pháp Thiết bị xác thực
b) Chi tiết đặc tính kỹ thuật
Đặc tính kỹ thuật yêu cầu đầy đủ như yêu cầu tại phần Thiết bị sinh OTP dựa
trên phần cứng không có mã PIN, và có thêm các đặc tính công nghệ ở dưới đây:
- Thiết bị có khả năng cài đặt mã số bí mật PIN trong lần sử dụng đầu tiên để
bảo mật cho thiết bị token.
- Có khả năng khởi tạo nhiều OTP với độ dài khác nhau trên cùng một thiết bị
token, phục vụ cho nhiều mục đích xác thực khác nhau tùy vào mục đích sử dụng.
- Thiết bị token có khả năng hỗ trợ mã thách thức-phản hồi (Challenge-
Response) và ký giao dịch
- Thiết bị token có khả năng lưu trữ các seed khác nhau để tạo ra OTP, mã
thách thức phản hồi (Challenge-Response) và ký giao dịch
- Thiết bị token có mã PIN có khả năng mở khóa sử dụng bằng mã thách
thức-phản hồi (Challenge-Response)
- Thiết bị token có khả năng hiển thị thông điệp chào mừng khi bật thiết bị.
- Thiết bị có mã PIN có khả năng bắt buộc khách hàng đổi mã PIN ngay ở lần
sử dụng đầu tiên.
- Hỗ trợ chữ ký động.
c) Về mẫu mã, logo
- Đơn vị cung cấp phải thực hiện việc cá thể hóa thiết bị token bao gồm cả nút
bấm của thiết bị theo yêu cầu của ngân hàng như mầu sắc, logo thương hiệu, bao gồm
trên thiết bị và trên cả nút bấm của thiết bị.
- Mặt trước của thiết bị Token có màn hình LCD và mặt sau của Token có in
Serial Number của thiết bị.
- Toàn bộ bề mặt phía trước của thiết bị token phải phủ lớp plastic để bảo vệ,
chống xước màn hình
- Nhà cung cấp phải đóng gói, đóng nhãn hàng hóa khi có yêu cầu
3.4. Thiết bị đầu đọc thẻ thông minh EMV hỗ trợ sinh OTP
a) Loại thiết bị: OTP smartcard reader

Trang 21
 b) Chi tiết đặc tính kỹ thuật
- Màn hình LCD mặt trước, Serial Number in mặt sau
- Hỗ trợ chức năng chữ ký động
- Cho phép ký những gì mình thấy; màn hình hiển thị đủ rộng
- Yêu cầu đăng nhập PIN
- Có khả năng sinh mã OTP
- Có chức năng Challenge/Response
- Có khả năng ký dữ liệu giao dịch trên đường truyền
- Có tính năng Zoom feature
- Hỗ trợ các tiêu chuẩn: CAP, DPA, PLA, APACS, PKI...
c) Về mẫu mã, logo
- Đơn vị cung cấp phải thực hiện việc cá thể hóa thiết bị OTP smartcard
reader bao gồm cả nút bấm của thiết bị theo yêu cầu của ngân hàng như mầu sắc, logo
thương hiệu, bao gồm trên thiết bị và trên cả nút bấm của thiết bị.
- Mặt trước của thiết bị OTP smartcard reader có màn hình LCD và mặt sau có
in Serial Number của thiết bị
- Toàn bộ bề mặt phía trước của thiết bị phải phủ lớp plastic để bảo vệ, chống
xước màn hình
- Nhà thầu phải đóng gói, đóng nhãn hàng hóa khi có yêu cầu.
III. Yêu cầu đối với phần mềm
1. Yêu cầu chung
- Phần mềm phải đảm bảo tính đồng bộ với giải pháp do Nhà thầu cung cấp.
- Nhà thầu hoàn toàn chịu trách nhiệm về mọi thiệt hại phát sinh do việc khiếu
nại của bên thứ ba về việc vi phạm bản quyền sở hữu trí tuệ liên quan tới phần mềm do
nhà cung cấp cho Agribank
2. Danh mục giải pháp và phần mềm

Trang 22
ST Nội dung đầu Số Căn cứ, mục đích trang bị và sử dụng
T tư lượng
1 Giải pháp và 01 bộ - Giải pháp và phần mềm ứng dụng xác thực tập
phần mềm xác trung đi kèm thiết bị xác thực với 300.000 bản
thực tập trung quyền người dùng cuối cho hệ thống, bao gồm:
bản quyền cho thiết bị sinh OTP dựa trên phần
cứng, phần mềm sinh OTP token, sinh OTP qua
tin nhắn đến thiết bị di động và qua đường email
của người dùng cuối.
- Bản quyền được trang bị tập trung và phân bổ
cho chi nhánh để đăng ký cho khách hàng sử dụng
các dịch vụ của Agribank. Số lượng bản quyền
người dùng cuối này trang bị đủ cho khoảng hơn
60.000 khách hàng cá nhân hiện có của hệ thống
internet banking và dự phòng tăng trưởng khách
hàng trong vòng 3 năm tới.
- Dự án trang bị bình quân mỗi chi nhánh
khoảng 2.000 license (toàn quốc là 149 chi nhánh)
khi xây dựng hệ thống và sẽ được trang bị thêm
khi mở rộng hệ thống trong tương lai
- OTP được sinh và gửi qua tin nhắn đến thiết
bị di động và qua đường email của người dùng
cuối có thể sử dụng được ngay chỉ với license và
mở cổng kết nối với các cổng tin nhắn và cổng
SMTP sẵn có.
2 Phần mềm 01 bộ - Trang bị gói phần mềm cho các thiết bị di
sinh OTP cho động với 10.000 license để cấp cho khách hàng
thiết bị di động khi khách hàng sử dụng các dịch vụ của Agribank
được cung cấp trên các máy tính bảng, điện thoại
thông minh hoặc các máy tính thông thường có kết
nối internet.
- Việc trang bị này đã bao gồm bản quyền phần
mềm, bộ mã thư viện tích hợp SDK và bản quyền
người dùng cuối trên hệ thống, đảm bảo Agriban
không phải trang bị thêm bất cứ thứ gì khi ứng
dụng phương pháp bảo mật này.

Trang 23
 3. Yêu cầu chi tiết về giải pháp và phần mềm xác thực tập trung
3.1. Yêu cầu chung về giải pháp và phần mềm xác thực tập trung
- Phần mềm xác thực tập trung được cung cấp phải phù hợp với yêu cầu về
giải pháp và mô hình triển khai sơ bộ nêu tại mục A.II phần VI, phù hợp với yêu cầu
nêu tại mục B.I.9 phần VI và B.I.12 phần VI.
- Cung cấp kèm theo phần mềm 300.000 bản quyền người dùng cuối (license),
bao gồm: bản quyền cho thiết bị sinh OTP dựa trên phần cứng, phần mềm sinh OTP
token, sinh OTP qua tin nhắn đến thiết bị di động và qua đường email của người dùng
cuối
- Các thành phần chính của phần mềm xác thực tập trung:
+ Authentication server application with web based UI and database
+ Radius server
+ Java client API with two ways SSL based communication support
+ SDK and software library for integrated into existing IT environments
+ Support Embedded software HSM and HSM
3.2. Yêu cầu các chức năng phần mềm xác thực tập trung
3.2.1. Chức năng xác thực người dùng với token cứng
- Việc xác thực được thực hiện qua mã OTP và MAC từ token cứng. Việc tính
toán tạo ra mã OTP và MAC sử dụng thuật toán đã được kiểm chứng về mức độ an
toàn như (3DES hoặc AES)
- Luồng xác thực người dùng sử dụng OTP cứng như sau:
B1. Người dùng truy cập vào trang đăng nhập của ứng dụng
B2. Người dùng sử dụng token để tạo ra một dãy số OTP
B3. Người dùng nhập tên đăng nhập, mật khẩu và số OTP và đăng nhập
B4. Ứng dụng gửi tên đăng nhập, mật khẩu và số OTP đến Thiết bị xác thực để
kiểm tra
B5. Thiết bị xác thực kiểm tra tên đăng nhập, mật khẩu và số OTP
B6. Máy chủ gửi chứng thực thành công đến ứng dụng
B7. Ứng dụng thông báo thành công đến người dùng (người dùng được truy cập
vào ứng dụng).
3.2.2. Chức năng xác thực người dùng sử dụng phần mềm sinh OTP
Luồng xác thực người dùng sử dụng phần mềm sinh OTP như sau:
B1. Ứng dụng gửi trang yêu cầu người dùng đăng nhập cho tên đăng nhập, mật
khẩu tĩnh và OTP
B2. Người dùng bắt đầu dùng phần mềm để tạo mã OTP
B3. Người dùng nhập tên đăng nhập, mật khẩu và OTP trên trăng đăng nhập và
Submits
B4. Ứng dụng gửi giá trị tên đăng nhập, mật khẩu và OTP đến Thiết bị xác thực
B5. Thiết bị xác thực tên đăng nhập, mật khẩu và OTP
B6. Máy chủ gửi xác thực thành công đến ứng dụng
B7. Ứng dụng trả lại trang đăng nhập thành công đến người dùng
3.2.3. Xác thực người dùng sử dụng OTP qua tin nhắn hoặc email
- Luồng xác thực người dùng sử dụng SMS token như sau:

Trang 24
 B1. Người dùng nhập mã định danh đăng nhập (UserID) và mật khẩu tĩnh cho
xác thực 1 nhân tố đầu tiên.
B2. Ứng dụng ngân hàng kiểm tra mật khẩu tĩnh (trên dữ liệu của ngân hàng
hoặc có thể sử dụng Thiết bị xác thực). Nếu đúng, ứng dụng máy chủ sẽ yêu cầu Thiết
bị xác thực gửi OTP đến người dung.
B3. Thiết bị xác thực tạo OTP sử dụng TRNG hoặc HSM kết nối với cổng truyền
tin nhắn (SMS gateway thông qua HTTP/HTTPS) gửi OTP đến người dùng đã đăng
ký số điện thoại trước.
B4. Cổng SMS, sẽ nhận thông điệp và gửi 1 tin nhắn đến số điện thoại
B5. Người dùng bây giờ có thể dùng OTP nhận được để xác thực 2 nhân tố cho
ứng dụng của ngân hàng
- Khi khởi tạo hệ thống ban đầu cần cấu hình các tham số cho SMS OTP để
quản lý các phiên đăng nhập các giá trị như bảng dưới đây:

OTP Giá trị Mô tả

Parameter
Độ dài 6 – 10 Tham số này định nghĩa độ dài của OTP sẽ gửi. Một OTP
dài hơn có thể sẽ được an toàn hơn nhưng nó sẽ gây bối rối
và khó cho nhiều người dùng
Giá trị 1 - 99999 Định nghĩa thời gian hiệu lực của OTP sử dụng để xác
phút thực. OTP này sẽ có hiệu lực để máy chủ tiến hành xác
thực.
Đây là tham số với giá trị tùy biến trong khoảng từ 1-
99999, cho phép cấu hình và thay đổi theo yêu cầu.
Hỗ trợ Có / không Cho phép các hàm OTP SMS như là Short-term password
nhiều hay one-time-use password.
người dùng Ví dụ: đối với những người dùng không muốn mỗi khi
đăng nhập lại gửi SMS để lấy OTP thì người dùng cho thể
chọn phương pháp gửi OTP hàng ngày “Mật khẩu gửi
hàng ngày” điều này sẽ hữu dụng đối với những nơi không
hỗ trợ SMS hoặc nó sẽ làm giảm chi phí cho người dùng
Số lượng 1 Cho phép nhiều OTP được gửi qua 1 SMS. Nó cũng có thể
OTP cho được sử dụng để giảm bớt chi phí gửi SMS cho người
mỗi token dùng khi người dùng có nhu cầu đăng nhập

Trang 25
 - Tích hợp với HSM để sinh mã OTP, đảm bảo yêu cầu: OTP dựa trên TRNG
(True Random Noise Generator) hoặc khóa bảo mật trong HSM để sinh mã OTP
- Hỗ trợ tích hợp với các máy chủ thư tín điện tử được yêu cầu xác thực hoặc
không xác thực.
- Cho phép tích hợp được SMS Gateway và đảm bảo yêu cầu:
+ SMTP/SMS chứa mã OTP được truyền thông qua messaging gateway.
+ Cho phép thiết lập thời hạn hiệu lực của mã OTP.
+ Hỗ trợ khả năng định tuyến các tin nhắn đến cổng tin nhắn địa phương để
đảm bảo không phát sinh chi phí ngoài vùng cho việc gửi các tin nhắn.
3.2.4. Chức năng ký động và tích hợp chứng thư số
- Chức năng chữ ký động và chứng thư số được trang bị để giải quyết vấn đề
xác thực mạnh hai nhân tố. Điều này đảm bảo giải quyết được mối đe dọa là bị tấn
công ở giữa.
- Hệ thống có thể tạo ra một chữ ký điện tử trên dữ liệu (chức năng ký động)
với một mật khẩu là yếu tố thứ 2 cho bảo mật. Đồng thời chức năng này người dùng
không cần cài đặt bất cứ cái gì trên trình duyệt của khách hàng. Công nghệ này sử
dụng khóa bí mật (thường được lưu trên thẻ thông minh) chỉ được sử dụng một lần cho
mỗi phiên giao dịch và ngay sau đó bị loại bỏ. Điều này làm tăng tính an toàn và chi
phí lại thấp.
- Chức năng tích hợp sử dụng chứng thư số: mỗi người dùng ban đầu được
cấp một chứng thư số của một CA lưu trên thẻ thông minh (smartcard, EMV, token...),
trong suốt thời gian chứng thư số còn hiệu lực.
3.2.5. Chức năng mã hóa truyền thông và bảo vệ mật khẩu
- Chức năng bảo mật End-to-End trong giao dịch.
- Chức năng bảo vệ mật khẩu tĩnh: có cơ chế bảo vệ mật khẩu tĩnh bằng mật
mã; sử dụng hàm băm bảo mật, sử dụng HSM để giải mã đảm bảo mật khẩu được bảo
vệ đầy đủ và không bao giời bị lợi dụng khi người dùng rời khỏi trình duyệt web.
- Có giao thức an toàn để ngăn chặn cuộc tấn công replay: được thực hiện
thông qua việc sử dụng khéo léo giá trị phiên ngẫu nhiên và hàm XOR với băm mật
khẩu khi nó được mã hóa ở trình duyệt. Giá trị phiên ngẫu nhiên được sử dụng trên
một cơ sở cho mỗi phiên làm việc.
- Có chính sách cho mật khẩu, đảm bảo các mật khẩu có độ phức tạp cao, thiết
lập được thời gian sống cho mật khẩu...
- Giao thức trao đổi End-to-End sử dụng giao thức SSL.
3.2.6. Chức năng bảo mật đăng nhập mạng nội bộ
Giải pháp/Hệ thống phải cung cấp phương thức xác thực đăng nhập vào mạng và
các dịch vụ nội bộ của ngân hàng, bao gồm:
- Xác thực hai nhân tố cho truy cập từ xa thông qua VPN
- Xác thực hai nhân tố cho nhân viên truy cập email từ xa
- Xác thực hai nhân tố cho Windows đăng nhập
- Xác thực hai nhân tố cho cho các ứng dụng Web
- Mô hình đăng nhập xác thực sơ bộ như sau:

Trang 26
 3.2.7. Chức năng kiểm soát thiết bị OTP
- Hệ thống phải cung cấp chức năng kiểm soát các thiết bị sinh OTP. Nó có
khả năng điều khiển và quản lý hoạt động chung tạo thuận lợi cho các quản trị viên
của ngân hàng hỗ trợ việc phát hành token và quản lý vòng đời của token.
- Các tính năng bao gồm:
+ Quản lý việc phát hành OTP token;
+ Quản lý vòng đời của token: Từ khi ngân hàng phát hành cho khách hàng,
đến khi thu hồi/mất/trả lại...;
+ Tìm kiếm người sử dụng và các thông tin về token;
+ Có chức năng kích hoạt/bỏ kích hoạt/bind/unbind, thiết lập lại thiết bị token;
+ Có chức năng khóa/mở khóa, thu hồi định danh người dùng cuối;
+ Tạo và sinh các báo cáo cơ bản.
3.2.8. Chức năng quản trị
a) Các chức năng cơ bản
- Quản lý user, vòng đời thiết bị và chính sách bảo mật cho toàn bộ hệ thống
- Quản lý phân quyền người dùng, phân vai trò users.
- Lưu trữ và kiểm toán các hoạt động xác thực của người dùng và hoạt động
của quản trị viên trong Database.
- Quản lý sinh báo cáo và kiểm toán hệ thống.
- Quản lý và cung cấp công cụ xử lý dữ liệu.
- Giao diện quản trị dựa trên nền web/console.
b) Chức năng quản trị khác
- Chức năng quản lý máy chủ, bao gồm cả quản lý đăng nhập, sao lưu cơ sở dữ
liệu, khôi phục lại ứng dụng và dữ liệu.
- Chức năng quản lý an ninh, trong đó có quản lý phân quyền truy cập, cấu
hình tham số đặc tính cho mật khẩu, cấu hình các tham số an ninh cho các thiết bị
token, quản lý phân cấp quản trị, quản lý cấp phát...
4. Phần mềm sinh OTP cho thiết bị di động
a) Yêu cầu chung

Trang 27
 - Phần mềm được cung cấp phải bao gồm 10.000 bản quyền người dùng cuối
(license) để cài đặt cho các thiết bị điện thoại thông minh.
- Việc trang bị phần mềm này phải kèm theo bộ mã thư viện phát triển SDK để
Agribank tích hợp vào các ứng dụng nghiệp vụ hiện có mà không phải trang bị thêm
bất cứ thứ gì khi ứng dụng phương pháp bảo mật này.
b) Đặc tính kỹ thuật
- Giải pháp phần mềm sinh OTP chạy dựa trên nềm java, OTP dựa trên chuẩn
S/Key (RFC2289) và/hoặc Oath (RFC4226)
- Yêu cầu đăng ký mã PIN, hộp thoại xuất hiện thông điệp người dùng đăng ký
thành công hoặc không thành công.
- Hỗ trợ nhiều thiết bị cầm tay và nhà sản xuất thiết bị di động trên nền tảng
các hệ điều hành di động. Các hệ điều hành mới nhất hiện nay được hỗ trợ: Thiết bị
Java; Hệ điều hành Blackberry; Hệ điều hành iOS; Hệ điều hành windows phone; Hỗ
trợ thiết bị iPad; Hệ điều hành Android; Hệ điều hành Palm.
- Hỗ trợ công nghệ theo thời gian, theo sự kiện (Time base + Event based)
- Hỗ trợ đầy đủ mã thách thức/phản hồi (Challenge/Response) và ký giao dịch.
- Hỗ trợ đồng bộ thời gian với giải pháp đề xuất hệ thống Thiết bị xác thực
- Chỉ hỗ trợ chế độ trực tuyến: Mã token nên tự động kết nối tới Thiết bị xác
thực để yêu cầu kích hoạt cho lần sử dụng ban đầu
- Có thể cấu hình mã token với độ dài OTP: 6 tới 16 ký tự
- có khả năng cấu hình xung để khởi tạo số OTP trên thiết bị token (8 giây tới
120 giây)
- Hỗ trợ thuật toán xác thực mở OATH, thuật toán mã hóa DES, 3DES &
AES.
- Có chữ ký động tích hợp tương tác cho người dùng trong quá trình ký
- Hỗ trợ số PIN để bảo vệ Token
- Để bảo mật cho phần mềm token, khi nhập sai mã PIN trên token, token sẽ
sinh ra mã OTP không hợp lệ, hoặc token sẽ bị vô hiệu hóa.
- Để bảo mật cho phần mềm token, các bản ghi số seed phải được xóa từ điện
thoại nếu người dùng nhập sai số PIN nhiều lần hơn quy định của token, do đó cần yêu
cầu từ token để liên kết lại và kích hoạt lại.
- Người dùng có thể thiết lập cũng như thay đổi mã PIN của mình trên phần
mềm Token.
- Tùy biến đầy đủ và hoàn toàn trên giao diện đồ họa người dùng (danh mục,
tin nhắn, biểu tượng, tên, logo, màu font chữ vv) theo yêu cầu của Ngân hàng.
- Hỗ trợ các yếu tố bảo mật của thiết bị (Device finger print)
- Có khả năng khởi tạo nhiều OTP với độ dài khác nhau trên một token
- Có khả năng có nhiều hơn 3 phương thức xác thực (sinh OTP/ Mã thách
thức-phản hồi/ Ứng dụng ký giao dịch) trên 1 phần mềm token với khả năng xác định
các phương thức cần thiết cho từng mục đích ứng dụng.
- Có khả năng bổ sung thêm thông tin, đường dẫn, cho phép người dùng có thể
truy cập vào web site của ngân hàng.
- Có khả năng hiển thị các thông tin mới nhất liên quan đến ngân hàng.

Trang 28
 - Có bộ phát triển phần mềm (SDK) của tất cả chức năng token, có thể nhúng
(embedded) vào ứng dụng E-banking hoặc các ứng dụng của ngân hàng
- Phần mềm token trên điện thoại di động có khả năng phát hiện thiết bị đã
được bẻ khóa (jailbreak) và điện thoại đã bị chiếm quyền điều khiển (rootkit) và tự
động khóa ứng dụng nếu cần thiết
- Phần mềm OTP trên di động phải lưu trữ các số hạt nhân Seeds/thông tin bí
mật vào Sim card trong tương lai.
c) Về hiệu chỉnh phần mềm
Đơn vị cung cấp phải hiệu chỉnh giao diện phần mềm theo yêu cầu của Agribank
gồm:
- Hiệu chỉnh giao diện màn hình, danh mục menu: biểu tượng, tên, logo, màu
font chữ.
- Hiệu chỉnh tin nhắn SMS: nội dung, logo, màu font chữ ,… Phần mềm phải
đảm bảo Agribank có thể tự thực hiện điều chỉnh nội dung, logo, màu font chữ ,…
theo yêu cầu.
IV. Yêu cầu về cung cấp và triển khai giải pháp
1. Yêu cầu chung về cung cấp và triển khai giải pháp
Nhà thầu chịu trách nhiệm cung cấp giải pháp đáp ứng các yêu cầu sau:
- Giải pháp và hệ thống OTP đáp ứng các yêu cầu tại mục A.II phần VI và
mục B.I phần VI.
- Cung cấp đầy đủ các thiết bị, phần mềm và các vật tư đảm bảo triển khai giải
pháp và hệ thống.
- Hoàn toàn chịu trách nhiệm về mọi thiệt hại phát sinh do việc khiếu nại của
bên thứ ba về việc vi phạm bản quyền sở hữu trí tuệ liên quan tới giải pháp do nhà
cung cấp cho Agribank.
2. Yêu cầu về tổ chức triển khai
2.1. Đối với các thiết bị, phần mềm hệ thống và phần mềm tiêu chuẩn
Nhà thầu phải tổ chức thực hiện các công việc cơ bản sau:
- Cung cấp đầy đủ các thiết bị, phần mềm hệ thống và phần mềm tiêu chuẩn
theo phương án và Hợp đồng ký kết.
- Tổ chức vận chuyển, bàn giao các thiết bị, phần mềm hệ thống và phần mềm
tiêu chuẩn tới địa điểm triển khai theo yêu cầu của Agribank.
- Tổ chức thiết kế tổng thể và chi tiết hệ thống.
- Tổ chức lắp đặt toàn bộ các thiết bị do nhà thầu cung cấp tại địa điểm được
quy định bởi Agribank và chịu toàn bộ các chi phí phát sinh liên quan đến việc lắp đặt
các thiết bị nếu có (ví dụ: Các vật tư, vật liệu phục vụ việc lắp đặt và triển khai thiết
bị).
- Tổ chức cài đặt và cấu hình tất cả các thiết bị và phần mềm tiêu chuẩn.
- Tổ chức cá thể hóa các thiết bị.
- Tổ chức nghiệm thu các thiết bị, phần mềm hệ thống và phần mềm tiêu
chuẩn.
2.2. Đối với các phần mềm ứng dụng

Trang 29
 - Tổ chức khảo sát, phân tích và xây dựng tài liệu yêu cầu người sử dụng đối
với các yêu cầu về hiệu chỉnh phần mềm, cá thể hóa phần mềm, tích hợp với các hệ
thống ứng dụng của Agribank.
- Tổ chức hiệu chỉnh phần mềm.
- Tổ chức lập trình tích hợp hệ thống với các hệ thống ứng dụng của Agribank.
- Tổ chức kiểm tra, kiểm thử phần mềm ứng dụng.
- Xây dựng phương án triển khai chi tiết và cam kết về việc triển khai không
làm ảnh hưởng đến hoạt động giao dịch của các hệ thống.
- Tổ chức thử nghiệm, triển khai thí điểm hệ thống.
- Tổ chức nghiệm thu.
3. Yêu cầu về tích hợp
3.1. Tích hợp với hệ thống OTP hiện có của Agribank
3.2. Tích hợp với các hệ thống ứng dụng của Agribank
+ Hệ thống CMS;
+ Hệ thống Internet banking,
+ Cổng SMS;
+ Cổng email: hệ thống email hiện đang sử dụng là MS Exchange 2008;
- Nhà cung cấp phải cam kết sẽ hỗ trợ và tích hợp với hệ thống e-Banking khi
có yêu cầu từ Agribank.
3.3. Tích hợp với hệ thống SAN và Backup của Agribank
4. Yêu cầu về chuyển giao công nghệ
4.1. Yêu cầu về chuyển giao các tài liệu liên quan
Chuyển giao đầy đủ tài liệu gồm:
- Tài liệu mô tả Kiến trúc hệ thống; Tài liệu thiết kế và phương án triển khai
hệ thống.
- Hướng dẫn cài đặt hệ thống, cấu hình hệ thống và thiết bị, hướng dẫn quản
trị và vận hành hệ thống;
- Tài liệu mô tả các mã lỗi mà hệ thống thông báo (Error Codes and
Troubleshooting);
- Tài liệu mô tả API (hoặc các hàm/thủ tục API); Tài liệu hướng dẫn phát triển
tích hợp SDK, Authentication toolkit;
- Các tài liệu về đào tạo.
4.2. Yêu cầu về tổ chức đào tạo
Đơn vị cung cấp thực hiện cung cấp cho Agribank những lớp đào tạo sau:
a) Lớp thứ nhất: Đào tạo cho các cán bộ tham gia vận hành hệ thống, các cán
bộ hỗ trợ tại các hệ thống ứng dụng có sử dụng OTP.
- Đối tượng: Cán bộ thuộc Trung tâm CNTT
- Số lượng: ít nhất 10 người
- Thời gian đào tạo: 05 ngày.
- Giảng viên: Chuyên gia chính hãng và đối tác thực hiện.
- Địa điểm đào tạo: Việt Nam.
- Nội dung đào tạo đáp ứng các nội dung tối thiểu sau:

Trang 30
 + Tổng quan về hệ thống;
+ Tổng quan về SDK, software toolkit;
+ Quản lý kiểm soát user, OTP token;
+ Hỗ trợ xử lý lỗi phát sinh;
+ Giám sát và hỗ trợ xử lý sự cố;
+ Quản lý Log và sinh báo cáo.
+ Hướng dẫn sử dụng các hàm trong thư viện SDK/API .
b) Lớp thứ hai: Đào tạo cho các cán bộ quản trị hệ thống, cán bộ quản lý và lập
trình tích hợp OTP với các ứng dụng của Agribank.
- Đối tượng: Cán bộ thuộc Trung tâm CNTT.
- Số lượng: ít nhất 04 người
- Thời gian đào tạo: tối thiểu 05 ngày.
- Giảng viên: Chuyên gia chính hãng
- Địa điểm đào tạo: Singapore/Hồng Kông
- Môi trường đào tạo: có môi trường hệ thống đầy đủ tính năng để thực
hành; trang thiết bị phục vụ lớp học.
- Nội dung đào tạo đáp ứng các nội dung tối thiểu sau:
+ Tổng quan về hệ thống;
+ Cài đặt và cấu hình hệ thống; Quản trị hệ thống OTP;
+ Backup and Recovery;
+ Nâng cấp, cập nhật và phục hồi bản vá phần mềm ứng dụng, Fireware, SDK,
OS, Database, thư viện...;
+ Tích hợp SDK, software toolkit vào ứng dụng nghiệp vụ;
+ Những tính năng mới hoặc định hướng công nghệ xác thực trong tương lai.
c) Đơn vị cung cấp phải chịu trách nhiệm chi trả các chi phí liên quan đến đào
tạo như: môi trường đào tạo; tài liệu phục vụ đào tạo; chi phí đi lại và ăn ở đối với học
viên, giảng viên (khóa ở nước ngoài); chi phí đi lại và ăn ở đối với giảng viên (khóa
trong nước).
4.3. Yêu cầu về chuyển giao
Nhà thầu chịu trách nhiệm chuyển giao các phần mềm, mã nguồn theo các yêu
cầu sau:
- Phần mềm tiêu chuẩn, phần mềm ứng dụng, phần mềm thư viện phát triển
SDK toolkit được lưu trữ trong CD/DVD và được bàn giao cho Agribank.
- Các mã nguồn tích hợp giữa hệ thống OTP với hệ thống ứng dụng của
Agribank (ngoại trừ các SDK, software toolkit ) phải được bàn giao cho Agribank và
thuộc sở hữu của Agribank.
- Các tài khoản quản trị để đăng nhập hệ thống (như Root của OS,
Administrator của application, database, Operation Admin of devices HSM...) phải
được bàn giao đầy đủ cho Agribank.
5. Yêu cầu về bảo hành và hỗ trợ hệ thống
5.1. Các công việc bảo hành và hỗ trợ hệ thống
a) Đối với các thiết bị
- Thực hiện kiểm tra các thiết bị theo định kỳ.

Trang 31
 - Thực hiện thay thế các thiết bị lỗi. Các thiết bị thay thế phải đảm bảo đúng
chủng loại, mới 100%.
- Cập nhật các bản vá lỗi đối với hệ điều hành, các phần mềm kèm theo thiết
bị.
b) Đối với phần mềm
- Tổ chức cài đặt, nâng cấp hệ thống khi có yêu cầu của Agribank. Việc nâng
cấp hệ thống gồm:
+ Cài đặt khi chuyển đổi máy chủ.
+ Nâng cấp hệ điều hành.
+ Nâng cấp hệ cơ sở dữ liệu.
- Tổ chức hiệu chỉnh hệ thống khi có phát sinh hoặc khi có yêu cầu của
Agribank:
+ Cấu hình tối ưu các chức năng của hệ thống.
+ Cấu hình, chỉnh sửa và tối ưu các giao diện tích hợp với hệ thống.
+ Cấu hình, tối ưu cơ sở dữ liệu.
- Định kỳ kiểm tra, giám sát và đánh giá tính bảo mật của hệ thống và giao
dịch.
5.2. Thời gian bảo hành, phương thức hỗ trợ hệ thống
- Tất cả các thiết bị, phần mềm hệ thống và phần mềm tiêu chuẩn, phần mềm
ứng dụng được bảo hành trong 03 (ba) năm, riêng các thiết bị token được bảo hành
trong 01 (một) năm, kể từ ngày nghiệm thu hệ thống đưa vào hoạt động. Trong thời
gian trên, Nhà thầu có trách nhiệm hỗ trợ quản trị và vận hành hệ thống đảm bảo hệ
thống hoạt động ổn định, an toàn.
- Thời gian hỗ trợ xử lý sự cố: tối đa 12 giờ kể từ khi phát sinh sự cố.
- Phương thức: Nhà thầu cần đề xuất phương thức tổ chức hỗ trợ hệ thống đáp
ứng các yêu cầu cơ bản sau:
+ Đối với các sự cố, lỗi đơn giản: Chuyển cho các chuyên gia làm việc chuyên
trách đánh giá và xử lý.
+ Đối với các sự cố, lỗi phức tạp: Chuyển cho các chuyên gia làm việc chuyên
trách đánh giá và xử lý. Trường hợp cần thiết phải cử chuyên gia cao cấp tham gia xử
lý đảm bảo hệ thống nhanh chóng khắc phục và đưa trở lại hoạt động bình thường.
- Địa điểm bảo hành và hỗ trợ: tại nơi lắp đặt.

PHẦN V: TỔNG MỨC ĐẦU TƯ

V. Tổng mức đầu tư
1. Chi phí mua sắm và triển khai
1.1. Chi phí thiết bị
Đơn vị tính: VND

Trang 32
 Thành tiền
Số
STT Các thiết bị Đơn Đơn giá (chưa bao gồm
lượng
vị VAT)
1 Thiết bị xác thực tập trung Bộ 02 2.753.032.000 5.506.064.000
Thiết bị sinh OTP dựa trên
2 Chiếc 30.000 168.540 5.056.200.000
phần cứng không có mã PIN
Thiết bị sinh OTP dựa trên
3 phần cứng có mã PIN và chữ Chiếc 1.500 318.000 477.000.000
ký động
Thiết bị đầu đọc thẻ thông
4 Chiếc 200 636.000 127.200.000
minh EMV hỗ trợ sinh OTP
Tổng cộng 11.166.464.000

1.2. Chi phí phần mềm

Đơn vị tính: VND
Thành tiền
Số
STT Các phần mềm Đơn Đơn giá (chưa bao gồm
lượng
vị VAT)
1 Phần mềm xác thực tập trung Bộ 1 13.674.000.000 13.674.000.000
Phần mềm sinh OTP cho thiết
2 Bộ 1 1.897.400.000 1.897.400.000
bị di động
Tổng cộng 15.571.400.000
1.3. Chi phí cung cấp và triển khai giải pháp
Đơn vị tính: VND
Thành tiền
Số
STT Các phần mềm Đơn Đơn giá (chưa bao gồm
lượng
vị VAT)
Cung cấp và triển khai giải Gói
1 pháp OTP dịch 01 1.017.600.000 1.017.600.000
vụ
2 Tổ chức đào tạo Khóa 02 636.000.000 636.000.000
Tổng cộng 1.653.600.000
2. Tổng mức đầu tư

Thành tiền Thuế VAT

Thành tiền (đã
STT Các phần mềm (chưa bao gồm Tỷ bao gồm VAT )
VAT ) Số tiền
lệ
Chi phí mua sắm và
I 28.391.464.000 1.282.006.400 29.673.470.400
triển khai
Chi phí quản lý và các 725.969.735 72.596.974 798.566.709
II
chi phí khác
Tổng I+II 29.117.433.735 1.354.603.374 30.472.037.109
III Chi phí dự phòng 1.523.601.855
Tổng mức đầu tư 31.995.638.964

Trang 33
Trang 34