Dự Thảo Quy Chuẩn Kỹ Thuật Quốc Gia Cho Các Dịch Vụ Chứng Thực Điện Tử

Bộ Khoa học và Công nghệ đang lấy ý kiến đối với các dự thảo Quy chuẩn kỹ thuật quốc gia (QCVN) liên quan đến các dịch vụ chứng thực điện tử, gồm dịch vụ chứng thực chữ ký số công cộng, dịch vụ cấp dấu thời gian và dịch vụ chứng thực thông điệp dữ liệu. Việc xây dựng các dự thảo này nhằm tạo khung pháp lý và kỹ thuật đồng bộ, nâng cao độ tin cậy và bảo mật cho các giao dịch điện tử, đồng thời thúc đẩy quá trình chuyển đổi số tại Việt Nam.

Mục lục nội dung

I. Tổng quan về việc ban hành các dự thảo liên quan đến dịch vụ chứng thực điện tử

Việt Nam đang đẩy mạnh Chương trình Chuyển đổi số Quốc gia, các dịch vụ liên quan đến chứng thực điện tử đóng vai trò quan trọng, giúp đảm bảo tính pháp lý, an toàn và thông suốt cho các giao dịch trực tuyến. Luật Giao dịch điện tử năm 2023 (Luật số 20/2023/QH15) đã thiết lập cơ sở pháp lý quan trọng, đảm bảo những giá trị pháp lý và quy định các yêu cầu đối với các dịch vụ như chữ ký điện tử, dấu thời gian và chứng thực thông điệp dữ liệu.

Để hiện thực hóa các mục tiêu của Luật và củng cố niềm tin của người sử dụng, việc đảm bảo các Tổ chức Cung cấp Dịch vụ Tin cậy (TSPs) hoạt động an toàn, tin cậy và tuân thủ các yêu cầu kỹ thuật chi tiết là cần thiết. Tính đến tháng 7/2025, thị trường Việt Nam có 25 Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đang hoạt động, phục vụ rộng rãi trong các lĩnh vực như khai/nộp thuế điện tử, hải quan điện tử, hóa đơn điện tử, giao dịch chứng khoán, ngân hàng và dịch vụ công trực tuyến.

Trước bối cảnh đó, việc xây dựng các Quy chuẩn kỹ thuật quốc gia (QCVN) chi tiết cho các dịch vụ chứng thực điện tử là cần thiết nhằm chuẩn hóa chất lượng dịch vụ, nâng cao khả năng tương thích kỹ thuật và tạo cơ sở tin cậy cho thị trường, góp phần thúc đẩy quá trình chuyển đổi số và phát triển kinh tế số tại Việt Nam.

II. Nội dung 3 dự thảo mới về dịch vụ chứng thực điện tử

1. Dự thảo QCVN về yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng

Dự thảo QCVN xxx:2025/BKHCN về các yêu cầu các yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng tại Việt Nam được ban hành với mục đích đảm bảo các Tổ chức Cung cấp Dịch vụ Tin cậy (TSP) vận hành an toàn, đáng tin cậy, củng cố niềm tin người dùng và thúc đẩy giao dịch điện tử trong nhiều lĩnh vực kinh tế – xã hội.

Dự thảo QCVN xxx:2025/BKHCN quy định các yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng, tập trung vào ba mô hình ký số chính:

Ký số trên các phương tiện lưu khóa bí mật bằng thiết bị phần cứng, đề ra các yêu cầu về quy trình kiểm soát và vận hành.
Ký số từ xa, quy định yêu cầu đối với hệ thống quản lý khóa bí mật, chứng thư, tạo chữ ký số của khách hàng, cũng như quy trình vận hành.
Ký số trên thiết bị di động, đưa ra các yêu cầu về chức năng, giao diện, thẻ SIM, cùng với quy trình kiểm soát và vận hành.

Việc chuẩn hóa đồng thời cả ba mô hình này là một bước đi chiến lược nhằm đảm bảo tính pháp lý và an toàn kỹ thuật cho CKS trong môi trường không gian mạng linh hoạt. Ngoài ra dự thảo này cũng quy định chi tiết về các yêu cầu kỹ thuật chung như Mật mã và chữ ký số, định dạng chứng thư, danh sách thu hồi, cú pháp thông điệp, giao diện với thẻ mật mã theo PKCS/RFC; chứng thư phải tuân thủ chính sách, giao thức truy cập thư mục (LDAP) và kiểm tra trạng thái trực tuyến (OCSP)…

Xem toàn văn Dự thảo QCVN xxx:2025/BKHCN về yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng dưới đây:

Vui lòng chờ vài giây để xem Dự thảo QCVN về yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng

Ấn vào đây để tải Dự Thảo QCVN về yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng

2. Dự thảo QCVN về dịch vụ về yêu cầu đối với dịch vụ cấp dấu thời gian

Bộ Khoa học và Công nghệ đã lấy ý kiến đối với dự thảo Quy chuẩn kỹ thuật quốc gia về dịch vụ cấp dấu thời gian (QCVN xxx:2025/BKHCN). Dự thảo này đưa ra các yêu cầu kỹ thuật và vận hành nhằm đảm bảo các tổ chức cung cấp dịch vụ cấp dấu thời gian tại Việt Nam hoạt động an toàn, đáng tin cậy và tuân thủ tiêu chuẩn quốc tế.

Theo dự thảo, các tổ chức cung cấp dịch vụ phải đáp ứng các yêu cầu về mật mã và chữ ký số, bao gồm cả chuẩn phi đối xứng (RSA, ECDSA), đối xứng (AES) và các hàm băm (SHA-256, SHA-384, SHA-512, SHA3, SHAKE). Đồng thời, việc quản lý thông tin và dữ liệu cũng được quy định chi tiết, từ định dạng chứng thư, danh sách thu hồi, cú pháp thông điệp mật mã đến giao diện với thẻ mật mã và trao đổi dữ liệu theo các chuẩn được quy đinh tại dự thảo.

Dự thảo cũng nêu rõ các yêu cầu đối với chứng thư chữ ký số, bao gồm chính sách chứng thư, giao thức truy xuất dữ liệu và kiểm tra trạng thái trực tuyến, cũng như các thiết bị HSM lưu trữ khóa bí mật phải đạt mức bảo mật tối thiểu theo các quy định hiện hành. Các dịch vụ cấp dấu thời gian cùng quy trình vận hành và kiểm soát theo cần tuân thủ tiêu chuẩn được quy định cụ thể trong dự thảo.

Xem toàn văn Dự thảo QCVN xxx:2025/BKHCN về các yêu cầu các dịch vụ cấp dấu thời gian dưới đây:

Vui lòng chờ vài giây để xem Dự thảo QCVN về yêu cầu đối với dịch vụ cấp dấu thời gian

Ấn vào đây để tải Dự Thảo QCVN về dịch vụ về yêu cầu đối với dịch vụ cấp dấu thời gian

3. Dự thảo QCVN về yêu cầu đối với dịch vụ chứng thực thông điệp dữ liệu

Bộ Khoa học và Công nghệ cũng đã lấy ý kiến đối với dự thảo Quy chuẩn kỹ thuật quốc gia về dịch vụ chứng thực thông điệp dữ liệu (QCVN xxx:2025/BKHCN). Dự thảo này đưa ra các yêu cầu kỹ thuật chi tiết về mật mã, chữ ký số, chứng thư chữ ký số, thiết bị bảo mật và quy trình vận hành, nhằm đảm bảo an toàn và tính toàn vẹn của thông điệp dữ liệu trong giao dịch điện tử tại Việt Nam.

Dự thảo mới quy định các tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu phải tuân thủ các yêu cầu về kỹ thuật mật mã và chữ ký số, sử dụng các thuật toán phi đối xứng (RSA, ECDSA), thuật toán đối xứng (AES) và các hàm băm an toàn (SHA-256, SHA-384, SHA-512, SHA3). Việc quản lý thông tin và dữ liệu cũng được quy định chi tiết, từ định dạng chứng thư, danh sách thu hồi, cú pháp thông điệp mật mã, giao diện với thẻ mật mã đến trao đổi dữ liệu cá nhân.

Dự thảo cũng quy định các yêu cầu về chứng thư chữ ký số, giao thức truy nhập thư mục (LDAP), kiểm tra trạng thái trực tuyến (OCSP) và thiết bị HSM, đồng thời yêu cầu dịch vụ chứng thực thông điệp dữ liệu tuân thủ các tiêu chuẩn ETSI/ISO về dịch vụ cơ bản, email bảo đảm, bảo quản dữ liệu dài hạn, chữ ký số AdES, PDF và XML, cùng quy trình kiểm soát, vận hành theo các chuẩn tương ứng.

Vui lòng chờ vài giây để xem Dự thảo QCVN về yêu cầu đối với dịch vụ chứng thực thông điệp dữ liệu

Ấn vào đây để tải Dự thảo QCVN về yêu cầu đối với dịch vụ chứng thực thông điệp dữ liệu

Ba dự thảo Quy chuẩn kỹ thuật quốc gia về dịch vụ chứng thực điện tử – gồm dịch vụ chứng thực chữ ký số công cộng, dịch vụ cấp dấu thời gian và dịch vụ chứng thực thông điệp dữ liệu – đều đặt ra các yêu cầu kỹ thuật chi tiết, từ mật mã, chữ ký số, chứng thư, thiết bị bảo mật đến quy trình vận hành và kiểm soát. Mục tiêu là đảm bảo các tổ chức cung cấp dịch vụ hoạt động an toàn, đáng tin cậy, tuân thủ tiêu chuẩn quốc tế và nâng cao niềm tin của người dùng trong các giao dịch điện tử tại Việt Nam.

III. Đánh giá tác động của 3 dự thảo mới về dịch vụ chứng thực điện tử

Việc xây dựng và xin ý kiến đối với ba dự thảo Quy chuẩn kỹ thuật quốc gia về dịch vụ tin cậy đánh dấu một bước chuyển mình quan trọng của khung pháp lý Việt Nam, từ việc công nhận giá trị pháp lý cơ bản (Nghị định 130/2018) sang việc thiết lập các tiêu chuẩn kỹ thuật chi tiết, hiện đại hóa theo định hướng Luật Giao dịch điện tử 2023.

Các QCVN này không chỉ chuẩn hóa các dịch vụ hiện có (CKS) mà còn giới thiệu các mô hình và dịch vụ mới (Ký số Từ xa, TĐDL/ERDS) với mức độ bảo mật và tuân thủ quốc tế rất cao, góp phần đặt Việt Nam vào nhóm các quốc gia có hạ tầng dịch vụ tin cậy tiên tiến, thúc đẩy sự phát triển bền vững của chính phủ số và kinh tế số.

Tóm lại việc chuẩn hóa yêu cầu kỹ thuật đối với chữ ký số công cộng, dịch vụ cấp dấu thời gian và chứng thực thông điệp dữ liệu giúp:

Nâng cao độ tin cậy và an toàn: Chuẩn hóa các yêu cầu mật mã, chứng thư, thiết bị bảo mật và quy trình vận hành giúp các dịch vụ chứng thực điện tử hoạt động ổn định, giảm thiểu rủi ro gian lận và sự cố kỹ thuật.
Đảm bảo tính toàn vẹn và pháp lý: Người dùng, doanh nghiệp và cơ quan nhà nước có thể tin tưởng vào giá trị pháp lý và tính toàn vẹn của các giao dịch điện tử.
Hội nhập quốc tế: Các yêu cầu kỹ thuật được xây dựng dựa trên các chuẩn ETSI, ISO và RFC, tạo cơ sở để các dịch vụ Việt Nam tương thích với các tiêu chuẩn quốc tế, thúc đẩy giao dịch xuyên biên giới và nâng cao năng lực cạnh tranh.
Tác động đến thị trường: Các tổ chức cung cấp dịch vụ cần rà soát và nâng cấp hệ thống, thiết bị và quy trình vận hành, đồng thời tạo điều kiện phát triển dịch vụ mới, mở rộng ứng dụng trong các lĩnh vực ngân hàng, chứng khoán, thuế điện tử và chính phủ điện tử.