Quy định số 910/2014 của Liên minh châu Âu (còn được gọi là Quy định eIDAS) về định danh điện tử và dịch vụ tin cậy là khung pháp lý toàn diện nhất cho chữ ký điện tử, con dấu điện tử, dấu thời gian điện tử, vận chuyển điện tử và chứng thực trang điện tử. Theo đó, eIDAS công nhận tính hợp pháp của các dịch vụ tin cậy và văn bản điện tử, cho phép ứng dụng dịch vụ tin cậy điện tử, chữ ký điện tử, con dấu điện tử, dấu thời gian điện tử xuyên biên giới giữa toàn bộ các quốc gia thành viên EU. Các cá nhân, tổ chức, cơ quan chức năng của châu Âu không thể từ chối tính bằng chứng của các chứng cứ chỉ vì chúng ở dạng điện tử.
Để tạo dựng niềm tin giữa các tổ chức, cá nhân trong thị trường chung châu Âu, quy định eIDAS áp dụng chứng nhận Nhà cung cấp dịch vụ tin cậy đảm bảo (QTSP) như một tiêu chuẩn cao nhất về sự an toàn, tin cậy, bảo mật trong giao dịch điện tử. Hiện nay, chỉ có chữ ký điện tử đảm bảo QES cho cá nhân, con dấu điện tử đảm bảo cho tổ chức QSeal cung cấp bởi nhà cung cấp dịch vụ tin cậy đảm bảo QTSP được công nhận trên toàn lãnh thổ EU về hiệu lực pháp lý tương đương chữ ký tay hoặc dấu mộc của tổ chức mà không phải trải qua bất cứ thủ tục đánh giá hay giải trình nào khác.
Chữ ký điện tử đảm bảo QES mang tới sự tin cậy, toàn vẹn, chống chối bỏ cho các cá nhân tham gia giao dịch trên môi trường điện tử, còn con dấu điện tử đảm bảo QSeal đại diện cho tổ chức khi thực hiện đóng dấu lên văn bản điện tử, hồ sơ tài liệu điện tử. Các nhà cung cấp dịch vụ tin cậy thông thường không đủ điều kiện để cung cấp các dịch vụ chữ ký điện tử đảm bảo QES, con dấu điện tử đảm bảo QSeal như QTSP.
Để trở thành Nhà cung cấp dịch vụ tin cậy đảm bảo QTSP, các tổ chức bắt buộc phải trải qua các cơ chế kiểm định, đánh giá nghiêm ngặt của Cơ quan giám sát quốc gia - Supervisory Body (SB) từ khâu chuẩn bị đánh giá đến khâu hậu kiểm và duy trì dịch vụ sau đánh giá. Tất cả các danh mục quy định bởi eIDAS phải được tuân thủ tuyệt đối trước khi chính thức cung cấp dịch vụ. Trong quá trình hoạt động, nhằm duy trì mức độ tín nhiệm, các QTSP được yêu cầu thực hiện đánh giá tính tuân thủ bởi các cơ quan kiểm định - Conformity Assessment Body (CAB) của EU ít nhất 2 năm/lần.
Cơ quan kiểm định tuân thủ (Conformity Assessment Body - CAB) cho các QTSP là đơn vị có kinh nghiệm, chuyên môn được chỉ định bởi cơ quan giám sát quốc gia (Supervisory Body - SB) hoặc cơ quan kiểm định quốc gia (National Assessment Body - NAB). Việc kiểm định tuân thủ sẽ phải được thực hiện trong toàn bộ vòng đời dịch vụ của QTSP từ khi triển khai đến khi chấm dứt hoạt động.
Bài kiểm tra đánh giá tuân thủ của các CAB đối với QTSP được xếp hạng nghiêm ngặt bậc nhất tại Châu Âu về kiểm định an toàn cũng như tính sẵn sàng của dịch vụ tin cậy, áp dụng toàn bộ các yêu cầu về cơ sở hạ tầng, chính sách vận hành, quản lý, bảo mật và tiêu chuẩn kỹ thuật được ban hành bởi Viện viễn thông Châu Âu (ETSI) và Viện chuẩn hóa Châu Âu (CEN) như CEN EN 419 241-1, CEN EN 419 241-2, CEN EN 419 221-5, ETSI TS 119 431, ETSI TS 119 432…
Cũng theo eIDAS, chỉ những nhà cung cấp dịch vụ đảm bảo QTSP mới đủ điều kiện để quản lý thiết bị QSCD thay mặt thuê bao đối với mô hình ký số từ xa Remote Signing. Đối chiếu với các quy định pháp luật Việt Nam như Nghị định 130/2018/NĐ-CP và Thông tư số 16/2019/TT-BTTTT, mô hình ký số từ xa Remote Signing do các QTSP cung cấp đáp ứng đầy đủ những tiêu chuẩn kỹ thuật bắt buộc về dịch vụ chứng thực điện tử và chữ ký số, đồng thời vượt trội hơn ở quy trình quản lý, vận hành, an ninh hệ thống nghiêm ngặt bậc nhất thế giới của eIDAS và ISO/IEC 27001. Có thể nói, nếu một tổ chức được công nhận là QTSP theo tiêu chuẩn châu Âu sẽ đồng thời tuân thủ mức độ cao hơn các quy định của Việt Nam về mô hình ký số từ xa quy định tại Thông tư 16/2019/TT-BTTTT.
Theo điều 14 của eIDAS, châu Âu cho phép công nhận tính pháp lý của Nhà cung cấp dịch vụ tin cậy ở nước thứ ba bên ngoài Liên minh tương đương QTSP tại EU nếu thỏa mãn cả hai điều kiện: thứ nhất, nhà cung cấp dịch vụ tin cậy của nước thứ ba phải đạt chứng nhận QTSP của châu Âu, thứ hai là cơ quan quản lý của nước thứ ba phải ký kết với EU về việc công nhận dịch vụ tin cậy bởi QTSP của EU.
Nếu Việt Nam và EU công nhận lẫn nhau về các dịch vụ được cung cấp bởi QTSP thì đây sẽ là bước tiến lớn đối với khả năng cung cấp dịch vụ ký số, chứng thực điện tử của Việt Nam. Trở thành một QTSP theo chuẩn EU giúp dịch vụ do các đơn vị Việt Nam cung cấp được chấp nhận rộng rãi không những ở Việt Nam mà cả thị trường EU cho thương mại xuyên biên giới, cũng như thể hiện năng lực công nghệ và tính cam kết cao nhất về khả năng đảm bảo an toàn, bảo mật, tin cậy đối với khách hàng.
Khi mô hình ký số từ xa Remote Signing đi vào hoạt động sẽ nâng cao tiêu chuẩn về ký số, chữ ký số, con dấu điện tử, trở thành bàn đạp quan trọng nhằm phổ biến rộng rãi việc sử dụng chữ ký số trong giao dịch điện tử, số hóa tài liệu tại thị trường Việt Nam nhờ sự tiện lợi, bảo mật vượt trội so với phương thức ký số truyền thống. Lúc này, người dùng có thể ký số mọi lúc, mọi nơi, trên mọi thiết bị mà không phải phụ thuộc khả năng tương thích với các cổng kết nối như USB token hay Smart card. Việc ký số ngay trên điện thoại thông minh hay máy tính bảng đảm bảo an toàn, bảo mật, chữ ký số được chấp nhận trên khắp châu Âu và các nước trên giới sẽ trở thành hiện thực.
Một trong những bài toán khó giải nhất của nền tài chính - kinh tế số là quy trình định danh xác thực điện tử an toàn trong giao dịch. Trước kia, các ngân hàng tự vận hành hệ thống CA chuyên dùng để các bên tiến hành đăng ký dịch vụ. Tuy nhiên, hệ thống này nhanh chóng bị quá tải khi các bên thứ ba hoặc nhiều cơ quan tài chính thực hiện đăng ký và xác thực lẫn nhau, dẫn đến cơ sở dữ liệu định danh ngày càng phức tạp và khó kiểm soát, không đảm bảo liên thông theo một tiêu chuẩn quốc tế về an ninh vận hành hệ thống. Vấn đề này mâu thuẫn với mục đích mở rộng hệ sinh thái tài chính số của Chỉ thị Thanh toán Điện tử - PSD2 và mới nhất là chiến lược Ngân hàng mở - Open Banking của các quốc gia trên thế giới, kìm kẹp sự phát triển của thị trường tài chính nói riêng và lộ trình chuyển đổi kinh tế số, xã hội số nói chung.
Để gỡ khó cho các ngân hàng và các tổ chức tài chính, Khung tiêu chuẩn kỹ thuật chung (Regulatory Technical Standards - RTS) cho chỉ thị thanh toán điện tử PSD2 được ban hành bởi Cơ quan Quản lý Ngân hàng Châu Âu (European Banking Authority - EBA) đã chấp nhận sử dụng chứng thư số, chữ ký điện tử đảm bảo QES và con dấu điện tử đảm bảo QSeal cho quy trình định danh xác thực theo mô hình Ngân hàng Mở - Open Banking. Điều này mở ra phương thức xác thực tin cậy, hợp pháp, được công nhận rộng rãi cho các ngân hàng và các tổ chức tài chính tham gia vào thị trường kinh tế số toàn cầu. Điển hình tại Vương Quốc Anh, Bộ Tài chính nước này đã phê chuẩn quyết định áp dụng Chứng thư số đảm bảo cấp bởi QTSP để ký số, định danh trên môi trường điện tử khi kết nối với các định chế tài chính.
Khi không sử dụng dịch vụ định danh xác thực điện tử của QTSP, các tổ chức tham gia thị trường tài chính số không thể thực hiện quy trình onboarding với các cơ quan quản lý. Việc không tuân thủ các tiêu chuẩn dịch vụ định danh - xác thực cấp độ đảm bảo của QTSP sẽ dẫn tới vô số những rủi ro tiềm ẩn cho các tổ chức tham gia nền tài chính kinh tế số:
- Nhà cung cấp dịch vụ thanh toán (PSP) không được công nhận rộng rãi trên toàn thế giới về tính pháp lý của bằng chứng, chứng từ điện tử và buộc phải chuẩn bị các hồ sơ pháp lý để giải trình.
- Các bên tham gia giao dịch trên môi trường tài chính số không đáp ứng yêu cầu về an ninh, bảo mật đối với xác thực mạnh theo PSD2, dẫn tới khả năng bị rút giấy phép hoạt động trên môi trường quốc tế Open Banking.
- Các tổ chức tài chính, ngân hàng chịu rủi ro bị chối bỏ về công nghệ áp dụng hoặc căn cứ pháp lý khi tiến hành kết nối với thị trường thế giới, không thể tham gia mạng lưới thanh toán - chia sẻ thông tin chung theo PSD2/Open Banking.
- Kiến trúc chứng thư số không đồng bộ; chữ ký điện tử, chữ ký số không cùng định dạng dẫn tới việc kéo dài thời gian, chi phí để xử lý và chứng thực tài liệu điện tử, đặc biệt là các chứng từ tài chính cần lưu trữ lâu dài ít nhất 10 năm hoặc vĩnh viễn.
Thêm vào đó, thị trường tài chính là một trong những thị trường vô cùng nhạy cảm với những rủi ro thường trực về an ninh bảo mật và nguy cơ giả mạo giấy tờ. Cùng với việc chỉ thị thanh toán điện tử PSD2, chiến lược Open Banking đang mở rộng thị trường tài chính số với các phân khúc mới, việc tuân thủ khung tiêu chuẩn EBA RTS thông qua các dịch vụ tin cậy của QTSP là phương thức duy nhất đảm bảo sự tin cậy giữa các nhà cung cấp dịch vụ thanh toán, khách hàng và các tổ chức tài chính - ngân hàng. Thông qua một tiêu chuẩn chung về hạ tầng kỹ thuật, tính hợp pháp của bằng chứng, chứng cứ điện tử và quy trình định danh, xác thực. Các tổ chức tham gia hệ sinh thái tài chính số sẽ tránh được rủi ro về sự chênh lệch quy chuẩn dẫn tới chối bỏ lẫn nhau trên môi trường mạng.
Ứng dụng những dịch vụ chứng thực điện tử và ký số từ nhà cung cấp dịch vụ tin cậy đảm bảo QTSP sẽ là phương thức hiệu quả để hiện đại hóa, chuyển đổi số toàn diện trong giao dịch điện tử, thúc đẩy thương mại điện tử, xây dựng hệ thống ngân hàng số, ngân hàng mở, mở rộng ra là nền tảng Chính phủ mở, Y tế mở,... minh bạch, chia sẻ, bảo mật và hội nhập với thế giới, đẩy mạnh thực thi hiệu quả các Hiệp định thương mại tự do EVFTA, UKVFTA, CPTPP.
Với những giá trị không thể phủ nhận đó của chứng nhận QTSP, những cơ quan chịu trách nhiệm thúc đẩy giao dịch điện tử, thương mại điện tử xuyên biên giới của Việt Nam cần bắt tay hợp tác để tìm hiểu và sớm chấp nhận tiêu chuẩn này để từng bước đưa Việt Nam bước chân vào sân chơi chung, giúp các tổ chức, doanh nghiệp đón đầu thời cơ và tạo lợi thế cạnh tranh lớn trên thị trường toàn cầu.
Gia Minh
09:00 | 19/06/2019
11:00 | 13/09/2021
13:00 | 03/06/2020
16:00 | 30/07/2020
09:00 | 15/09/2021
14:00 | 24/10/2024
Theo Bộ trưởng Bộ Thông tin và Truyền thông Nguyễn Mạnh Hùng, với cách tiếp cận bứt phá, việc phổ cập chữ ký số tại Việt Nam cho 100% người dân trưởng thành Việt Nam vào năm 2025 là khả thi. Đây cũng là mục tiêu, nhiệm vụ mà Bộ trưởng Bộ Thông tin và Truyền thông giao cho Trung tâm Chứng thực điện tử Quốc gia, các doanh nghiệp và Hiệp hội ngành Thông tin và Truyền thông.
13:00 | 30/07/2024
Hiện nay, mật mã đang được sử dụng ngày càng phổ biến, giúp nâng cao hiệu quả trong đảm bảo an toàn thông tin. Hệ mật RSA với độ dài khóa 2048 bit đang được sử dụng rộng rãi ở Việt Nam và trong hệ thống chứng thực số công vụ (CTSCV). Việc nâng cấp mật mã toàn diện bao gồm cả thuật toán, phần cứng, phần mềm, chính sách trong hệ thống chứng thực số công vụ từ đầu năm 2024 sẽ tiếp tục nâng cao độ an toàn về bảo mật cho các giao dịch điện tử của các cơ quan Đảng, Nhà nước, góp phần quan trọng công cuộc chuyển đổi số, xây dựng Chính phủ số.
15:00 | 26/06/2024
Từ ngày 01/7/2024 tới đây, Cục Chứng thực số và Bảo mật thông tin, Ban Cơ yếu Chính phủ sẽ chuyển trụ sở làm việc mới về Lô CN27A, Khu Công nghệ cao Hòa Lạc, Thạch Thất, Hà Nội.
09:00 | 23/08/2023
Thực hiện chỉ đạo của Chính phủ tại phiên họp thường kỳ tháng 4/2023 về đẩy nhanh quá trình chuyển đổi số, hoàn thiện các điều kiện hình thành công dân số, tỉnh Thừa Thiên Huế đã kích hoạt chiến dịch cấp chữ ký số cho người dân.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Sáng ngày 29/11/2024, tại Hà Nội, Ban Cơ yếu Chính phủ đã tổ chức Hội nghị toàn quốc (theo hình thức trực tiếp và trực tuyến) với nội dung trọng tâm tuyên truyền và phổ biến Nghị định số 68/2024/NĐ-CP ban hành ngày 25/6/2024 của Chính phủ. Thiếu tướng Nguyễn Đăng Lực, Phó Trưởng ban Ban Cơ yếu Chính phủ đã tới tham dự và chỉ đạo Hội nghị.
14:00 | 29/11/2024