Blog

ISO 30107 là gì? Tiêu chuẩn chống giả mạo sinh trắc học bạn cần biết

ISO 30107 là tiêu chuẩn quốc tế do Tổ chức Tiêu chuẩn hóa Quốc tế (ISO) ban hành, quy định các phương pháp phát hiện và ngăn chặn tấn công giả mạo (Presentation Attack) nhằm vào hệ thống nhận diện sinh trắc học như khuôn mặt, vân tay, mống mắt và giọng nói. Tiêu chuẩn này được xây dựng để đảm bảo rằng dữ liệu sinh trắc học thu thập trong quá trình xác thực danh tính là từ người thật, sống thật – không phải từ ảnh in, video phát lại, mặt nạ 3D hay các phương tiện giả mạo khác. Trong bối cảnh định danh điện tử và eKYC ngày càng phổ biến tại Việt Nam và toàn cầu, ISO 30107 là gì và tại sao nó lại trở thành yêu cầu bắt buộc trong nhiều hệ thống xác thực hiện đại là câu hỏi mà bất kỳ tổ chức tài chính, công nghệ hay cơ quan nhà nước nào cũng cần nắm rõ.

ISO 30107 là gì? 

ISO 30107 là một phần trong bộ tiêu chuẩn ISO/IEC về công nghệ sinh trắc học (biometrics), tập trung vào lĩnh vực phát hiện tấn công trình diễn – hay còn gọi là Presentation Attack Detection (PAD). Tên đầy đủ của bộ tiêu chuẩn này là ISO/IEC 30107 – Information Technology – Biometric presentation attack detection.

Tiêu chuẩn được phát triển bởi Ủy ban kỹ thuật liên hợp JTC 1/SC 37 (Biometrics) của ISO và IEC (International Electrotechnical Commission). Phiên bản đầu tiên được công bố vào năm 2016, sau nhiều năm nghiên cứu và thử nghiệm trong bối cảnh các hệ thống nhận diện sinh trắc học ngày càng được triển khai rộng rãi trong các lĩnh vực như ngân hàng, kiểm soát xuất nhập cảnh, và định danh công dân kỹ thuật số.

Lý do tiêu chuẩn này ra đời xuất phát từ một thực tế đáng lo ngại: hầu hết các hệ thống sinh trắc học truyền thống chỉ kiểm tra xem mẫu sinh trắc thu thập được có khớp với dữ liệu lưu trữ hay không, nhưng lại không phân biệt được liệu mẫu đó đến từ người thật hay từ một vật phẩm giả mạo. Kẻ xấu có thể in ảnh khuôn mặt trên giấy, phát lại video, đeo mặt nạ silicon, hoặc sử dụng ngón tay giả để qua mặt hệ thống gọi chung là Presentation Attack (PA).

Cấu trúc của bộ Tiêu chuẩn ISO 30107

ISO 30107 không phải là một tài liệu đơn lẻ mà là một bộ tiêu chuẩn gồm nhiều phần, mỗi phần giải quyết một khía cạnh riêng biệt của vấn đề phát hiện giả mạo sinh trắc học:

  • ISO/IEC 30107-1: Phần 1 – Framework (Khung tổng quát). Định nghĩa các thuật ngữ cốt lõi, mô tả kiến trúc tổng thể của hệ thống PAD và phân loại các loại tấn công trình diễn. Đây là phần nền tảng mà tất cả các phần còn lại đều dựa vào.
  • ISO/IEC 30107-2: Phần 2 – Biometric presentation attack detection technical requirements (Yêu cầu kỹ thuật). Xác định các yêu cầu kỹ thuật chi tiết mà một hệ thống PAD cần đáp ứng, bao gồm cả phần cứng cảm biến và phần mềm xử lý.
  • ISO/IEC 30107-3: Phần 3 – Testing and Reporting (Kiểm thử và báo cáo). Đây là phần được ứng dụng và trích dẫn nhiều nhất. Phần này quy định phương pháp đánh giá hiệu năng hệ thống PAD, bao gồm các chỉ số đo lường tiêu chuẩn như APCER, BPCER và ACER.
  • ISO/IEC 30107-4: Phần 4 – Profile for scenarios with mobile devices (Hồ sơ cho thiết bị di động). Hướng dẫn áp dụng tiêu chuẩn trên môi trường thiết bị di động – nơi điều kiện ánh sáng, góc chụp và chất lượng cảm biến biến động lớn hơn nhiều so với hệ thống cố định.

Presentation attack là gì?

Để hiểu sâu hơn về ISO 30107, cần nắm rõ khái niệm trung tâm mà tiêu chuẩn này được xây dựng để giải quyết: Presentation Attack (PA) – tấn công trình diễn.

Theo định nghĩa trong ISO 30107-1, Presentation Attack là hành vi cố tình trình diễn một mẫu sinh trắc học không phải từ người dùng hợp lệ lên cảm biến của hệ thống với mục đích gian lận – gồm cả việc mạo danh người khác hoặc che giấu danh tính thật của mình. Phương tiện được sử dụng để thực hiện hành vi này gọi là Presentation Attack Instrument (PAI).

Các loại tấn công giả mạo phổ biến nhất hiện nay

Dựa trên loại phương tiện tấn công, ISO 30107 phân loại các hình thức giả mạo sinh trắc học thành nhiều nhóm:

  • Print Attack (tấn công bằng ảnh in): Kẻ tấn công in khuôn mặt nạn nhân ra giấy hoặc màn hình điện thoại và giơ lên trước camera. Đây là loại tấn công đơn giản nhất nhưng vẫn qua mặt được nhiều hệ thống nhận diện mặt cơ bản.
  • Replay Attack (tấn công phát lại video): Sử dụng video quay lại khuôn mặt người khác và phát lại trước camera. Nguy hiểm hơn ảnh in vì có sự chuyển động tự nhiên.
  • 3D Mask Attack (mặt nạ 3D): Dùng mặt nạ làm từ silicone hoặc vật liệu cứng có hình dạng khuôn mặt của nạn nhân. Loại tấn công này tinh vi hơn và khó phát hiện hơn đáng kể.
  • Deepfake và tấn công kỹ thuật số: Sử dụng trí tuệ nhân tạo tạo ra video hoặc hình ảnh tổng hợp (synthetic face) cực kỳ chân thực. Đây là mối đe dọa mới và nguy hiểm nhất trong thời đại AI.
  • Finger Spoof (ngón tay giả): Đúc ngón tay giả từ gelatin, silicone hoặc nhựa dẻo để qua mặt máy quét vân tay – phổ biến trong các vụ gian lận chấm công và kiểm soát vật lý.

Các Chỉ Số Đánh Giá Hiệu Năng PAD Theo ISO 30107-3

Một trong những đóng góp quan trọng nhất của bộ tiêu chuẩn này – đặc biệt là phần ISO 30107-3 – là thiết lập một hệ thống đo lường hiệu năng thống nhất, giúp các tổ chức so sánh chất lượng của các giải pháp PAD khác nhau một cách khách quan và nhất quán.

APCER – Attack Presentation Classification Error Rate

APCER (tỷ lệ phân loại nhầm tấn công trình diễn) đo lường tỷ lệ phần trăm các mẫu giả mạo bị hệ thống PAD xếp nhầm vào nhóm hợp lệ (tức là để lọt giả mạo). APCER càng thấp, hệ thống càng giỏi phát hiện và chặn các vật phẩm tấn công. Đây là chỉ số phản ánh trực tiếp khả năng bảo mật của hệ thống trước các cuộc tấn công từ bên ngoài.

BPCER – Bona Fide Presentation Classification Error Rate

BPCER (tỷ lệ phân loại nhầm mẫu hợp lệ) đo lường tỷ lệ phần trăm các mẫu sinh trắc học thật từ người dùng hợp lệ bị hệ thống PAD từ chối nhầm. Nếu APCER thấp nhưng BPCER cao, hệ thống tuy an toàn nhưng lại gây khó chịu cho người dùng thực, làm giảm trải nghiệm sử dụng đáng kể. Cân bằng giữa APCER và BPCER là bài toán tối ưu hóa cốt lõi khi triển khai PAD.

ACER – Average Classification Error Rate

ACER là trung bình cộng của APCER và BPCER, đại diện cho sai số phân loại tổng thể của hệ thống PAD. Đây là chỉ số tổng hợp thường được dùng khi cần so sánh hiệu năng tổng thể giữa các giải pháp khác nhau trong cùng một điều kiện thử nghiệm.

Công thức: ACER = (APCER + BPCER) / 2

Ứng dụng của tiêu chuẩn ISO 3017

Từ khung lý thuyết, ISO 30107 đã được hiện thực hóa trong rất nhiều lĩnh vực và sản phẩm công nghệ sinh trắc học trong thực tế. Sự lan rộng của các dịch vụ định danh kỹ thuật số, đặc biệt trong ngành tài chính – ngân hàng, đã thúc đẩy tiêu chuẩn này trở thành yêu cầu bắt buộc ở nhiều thị trường.

eKYC 

Trong quy trình eKYC (Electronic Know Your Customer), người dùng thực hiện xác thực danh tính hoàn toàn trực tuyến thông qua camera điện thoại. Hệ thống cần xác nhận không chỉ khuôn mặt khớp với ảnh trên giấy tờ tùy thân, mà còn phải đảm bảo đây là người thật đang ngồi trước camera lúc này – không phải ảnh hay video quay sẵn.

Bộ phận chức năng đảm nhận nhiệm vụ xác nhận tính “sống” này chính là liveness detection – công nghệ phát hiện sống, được chuẩn hóa theo ISO 30107. Tại Việt Nam, các ngân hàng và tổ chức tín dụng triển khai eKYC theo yêu cầu của Thông tư 16/2020/TT-NHNN và các văn bản liên quan thường phải đáp ứng mức bảo mật PAD tương đương hoặc tuân chiếu tiêu chuẩn ISO 30107.

Kiểm soát biên giới và hệ thống nhập cảnh tự động

Tại các cửa khẩu sân bay quốc tế sử dụng e-gate (cổng thông minh tự động), hành khách xác thực bằng khuôn mặt để vượt qua kiểm tra xuất nhập cảnh mà không cần nhân viên trực tiếp. Môi trường này là mục tiêu hấp dẫn của các cuộc tấn công giả mạo tinh vi – vì vậy, các hệ thống e-gate đạt chuẩn thường phải được chứng nhận PAD theo ISO 30107-3 ở mức độ bảo mật cao.

Bảo mật sinh trắc học trên nền tảng di động

Các nhà sản xuất điện thoại như Apple (Face ID), Samsung và các thương hiệu Android khác ngày càng tích hợp công nghệ nhận diện khuôn mặt 3D hoặc dưới màn hình để mở khóa thiết bị và xác thực thanh toán. ISO 30107-4 được thiết kế riêng cho môi trường di động, nơi điều kiện chiếu sáng thay đổi liên tục, góc camera không cố định và người dùng thao tác trong nhiều tư thế khác nhau.

Lợi của tiêu chuẩn ISO 30107

  • Giảm thiểu rủi ro gian lận danh tính: Hệ thống PAD đạt chuẩn có thể ngăn chặn phần lớn các cuộc tấn công giả mạo phổ biến, giảm đáng kể thiệt hại tài chính và pháp lý.
  • Nâng cao uy tín với khách hàng và đối tác: Chứng nhận ISO 30107 từ tổ chức độc lập là bằng chứng khách quan về năng lực bảo mật, tạo lợi thế cạnh tranh trong đấu thầu và hợp tác.
  • Sẵn sàng cho các yêu cầu pháp lý tương lai: Đầu tư tuân thủ sớm giúp doanh nghiệp không bị động khi cơ quan quản lý chính thức đưa ISO 30107 vào khung pháp lý bắt buộc.
  • Cải thiện trải nghiệm người dùng: Hệ thống PAD được tối ưu theo chuẩn ISO không chỉ an toàn hơn mà còn ít gây từ chối nhầm người dùng hợp lệ, tạo trải nghiệm xác thực mượt mà hơn.

Với các doanh nghiệp Việt Nam đang xây dựng hoặc nâng cấp hệ thống eKYC, kiểm soát truy cập hay chấm công sinh trắc học, việc tìm hiểu và lên kế hoạch tuân thủ ISO 30107 ngay từ giai đoạn thiết kế kiến trúc hệ thống chính là cách tiếp cận khôn ngoan – vừa bảo vệ người dùng, vừa bảo vệ chính tổ chức trước các rủi ro pháp lý và tài chính trong tương lai.

ISO 30107-3 tại Việt Nam

Ngân hàng Nhà nước Việt Nam vừa ban hành Thông tư 77/2025/TT-NHNN, sửa đổi và bổ sung một số quy định về an toàn, bảo mật đối với dịch vụ trực tuyến trong ngành ngân hàng. Một điểm đáng chú ý là yêu cầu liên quan đến công nghệ sinh trắc học. Theo quy định mới, các giải pháp phát hiện giả mạo sinh trắc học (Presentation Attack Detection – PAD) — như chống giả mạo bằng ảnh, video, mặt nạ hoặc deepfake — nếu do ngân hàng tự triển khai hoặc sử dụng từ bên thứ ba, phải đáp ứng tiêu chuẩn ISO 30107 cấp độ 2 (Level 2) hoặc tương đương.

Ngoài ra, giải pháp này phải được chứng nhận bởi:

  • Tổ chức/phòng thí nghiệm sinh trắc học được FIDO Alliance công nhận

hoặc

  • Tổ chức chứng nhận có thẩm quyền xác nhận tuân thủ tiêu chuẩn quốc tế ISO.

Quy định này cho thấy xu hướng siết chặt hơn về bảo mật sinh trắc học trong lĩnh vực tài chính – ngân hàng, đặc biệt trong bối cảnh các hình thức giả mạo bằng AI, deepfake và tấn công kỹ thuật số ngày càng phổ biến.

VĂN PHÒNG CHỨNG NHẬN QUỐC GIA – GOOD CERT

Trụ sở:          Số 50B Mai Hắc Đế, P. Nguyên Du, Q. Hai Bà Trưng, Hà Nội

Hotline:          0945.001.005 – 024.2231.5555

E-mail:           chungnhanquocgia.com@gmail.com – info@chungnhanquocgia.com

Website:        www.chungnhanquocgia.com

VĂN PHÒNG HÀ NỘI

VĂN PHÒNG ĐÀ NẴNG

VĂN PHÒNG HỒ CHÍ MINH

Tầng 7 Tòa nhà HLT, Số 23 ngõ 37/2 Dịch Vọng, Phường Cầu Giấy, Thành phố Hà Nội, Việt Nam

73 Lý Thái Tông, Phường Thanh Khê Tây, Quận Thanh Khê, Đà Nẵng

Tầng 4, Tòa nhà PLS, 282 Chu Văn An, Phường Bình Thạnh, TP Hồ Chí Minh

Good Việt Nam Auditor
Latest posts by Good Việt Nam Auditor (see all)
Good Việt Nam Auditor

Chuyên viên biên tập nội dung tại văn phòng chứng nhận quốc gia Good Việt nam

G

0945 001 005

chat zalo