Nghị định 23/2025/NĐ-CP quy định về chữ ký điện tử và dịch vụ tin cậy

Chính phủ ban hành Nghị định 23/2025/NĐ-CP quy định về chữ ký điện tử và dịch vụ tin cậy ngày 21/02/2025.

Theo đó, Nghị định 23/2025/NĐ-CP quy định về chữ ký điện tử và dịch vụ tin cậy, trừ chữ ký số chuyên dùng công vụ và dịch vụ chứng thực chữ ký số chuyên dùng công vụ. Thời hạn có hiệu lực của chứng thư chữ ký số gốc của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia là 25 năm; Thời hạn có hiệu lực của chứng thư chữ ký số công cộng tối đa là 03 năm...

NGHỊ ĐỊNH

Quy định về chữ ký điện tử và dịch vụ tin cậy

__________

Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019;

Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;

Căn cứ Luật Phí và lệ phí ngày 25 tháng 11 năm 2015;

Theo đề nghị của Bộ trưởng Bộ Thông tin và Truyền thông;

Chính phủ ban hành Nghị định quy định về chữ ký điện tử và dịch vụ tin cậy.

Chương I. NHỮNG QUY ĐỊNH CHUNG

Điều 1. Phạm vi điều chỉnh

Nghị định này quy định về chữ ký điện tử và dịch vụ tin cậy, trừ chữ ký số chuyên dùng công vụ và dịch vụ chứng thực chữ ký số chuyên dùng công vụ.

Điều 2. Đối tượng áp dụng

Nghị định này áp dụng đối với cơ quan, tổ chức, cá nhân tham gia trực tiếp hoặc có liên quan đến chữ ký điện tử và dịch vụ tin cậy.

Điều 3. Giải thích từ ngữ

Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:

1. “Khóa” là một chuỗi các số nhị phân (0 và 1) dùng trong các hệ thống mật mã.

2. “Ký số” là việc đưa khóa bí mật vào một chương trình phần mềm để tự động tạo và gắn chữ ký số vào thông điệp dữ liệu.

3. “Chứng thư chữ ký số có hiệu lực” là chứng thư chữ ký số chưa hết hạn, không bị tạm dừng hoặc bị thu hồi.

4. “Mã bảo đảm toàn vẹn thông điệp dữ liệu” là một dãy ký tự được sử dụng để kiểm tra được tính toàn vẹn của thông điệp dữ liệu.

5. “Thuê bao” là cơ quan, tổ chức, cá nhân giao kết hợp đồng cung cấp và sử dụng dịch vụ tin cậy với tổ chức cung cấp dịch vụ tin cậy.

6. “Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia” là Trung tâm Chứng thực điện tử quốc gia trực thuộc Bộ Thông tin và Truyền thông.

7. “Quy chế chứng thực” là văn bản về chính sách và quy trình, thủ tục cấp, quản lý chứng thư chữ ký điện tử hoặc chứng thư chữ ký số, sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc dịch vụ tin cậy của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, tổ chức cung cấp dịch vụ tin cậy, tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn.

8. “Phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số” là khoản tiền để duy trì hệ thống thông tin phục vụ việc kiểm tra trạng thái chứng thư chữ ký số đối với dịch vụ chứng thực chữ ký số công cộng, dịch vụ cấp dấu thời gian, dịch vụ chứng thực thông điệp dữ liệu.

9. “Phương tiện lưu khóa bí mật” là phương tiện chứa khóa bí mật của thuê bao.

Chương II. CHỮ KÝ ĐIỆN TỬ

Mục 1. CHỨNG THƯ CHỮ KÝ ĐIỆN TỬ

Điều 4. Chứng thư chữ ký điện tử

Chứng thư chữ ký điện tử được phân loại như sau:

1. Chứng thư chữ ký sổ gốc của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia là chứng thư chữ ký số do tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia tự cấp cho mình tương ứng với từng loại dịch vụ tin cậy.

2. Chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy là chứng thư chữ ký số do tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia cấp cho tổ chức cung cấp dịch vụ tin cậy tương ứng với từng loại dịch vụ tin cậy, bao gồm: chứng thư chữ ký số cho dịch vụ cấp dấu thời gian, chứng thư chữ ký số cho dịch vụ chứng thực thông điệp dữ liệu, chứng thư chữ ký số cho dịch vụ chứng thực chữ ký số công cộng.

3. Chứng thư chữ ký số công cộng là chứng thư chữ ký số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp cho thuê bao.

4. Chứng thư chữ ký điện tử chuyên dùng là chứng thư chữ ký điện tử do cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng cấp.

Điều 5. Nội dung của chứng thư chữ ký điện tử

Nội dung chứng thư chữ ký điện tử bao gồm:

1. Thông tin về cơ quan, tổ chức tạo lập chứng thư chữ ký điện tử.

2. Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thư chữ ký điện tử, bao gồm tên cơ quan, tổ chức, cá nhân; mã/số định danh của cơ quan, tổ chức, cá nhân hoặc danh tính điện tử của cơ quan, tổ chức, cá nhân được cấp chứng thư chữ ký điện tử và các thông tin cần thiết khác (nếu có).

3. Số hiệu của chứng thư chữ ký điện tử.

4. Thời hạn có hiệu lực của chứng thư chữ ký điện tử.

5. Dữ liệu để kiểm tra chữ ký điện tử của cơ quan, tổ chức, cá nhân được cấp chứng thư chữ ký điện tử.

6. Chữ ký điện tử của cơ quan, tổ chức tạo lập chứng thư chữ ký điện tử.

7. Mục đích, phạm vi sử dụng của chứng thư chữ ký điện tử.

8. Trách nhiệm pháp lý của cơ quan, tổ chức cấp chứng thư chữ ký điện tử.

Điều 6. Nội dung của chứng thư chữ ký số

1. Nội dung chứng thư chữ ký sổ gốc của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia bao gồm:

a) Tên của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;

b) Số hiệu chứng thư chữ ký số;

c) Thời hạn có hiệu lực của chứng thư chữ ký số;

d) Khóa công khai của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;

đ) Chữ ký số của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;

e) Mục đích, phạm vi sử dụng của chứng thư chữ ký số;

g) Trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;

h) Thuật toán khóa không đối xứng.

2. Nội dung chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy tương ứng với từng loại dịch vụ bao gồm:

a) Tên của tổ chức cấp chứng thư chữ ký số;

b) Tên của tổ chức cung cấp dịch vụ tin cậy;

c) Số hiệu chứng thư chữ ký số;

d) Thời hạn có hiệu lực của chứng thư chữ ký số;

đ) Khóa công khai của tổ chức cung cấp dịch vụ tin cậy;

e) Chữ ký số của tổ chức cấp chứng thư chữ ký số;

g) Mục đích, phạm vi sử dụng của chứng thư chữ ký số;

h) Trách nhiệm pháp lý của tổ chức cung cấp dịch vụ tin cậy;

i) Thuật toán khóa không đối xứng.

3. Nội dung của chứng thư chữ ký số công cộng bao gồm:

a) Tên của tổ chức phát hành chứng thư chữ ký số;

b) Tên của thuê bao;

c) Số hiệu chứng thư chữ ký số;

d) Thời hạn có hiệu lực của chứng thư chữ ký số;

đ) Khóa công khai của thuê bao;

e) Chữ ký số của tổ chức phát hành chứng thư chữ ký số;

g) Mục đích, phạm vi sử dụng của chứng thư chữ ký số;

h) Trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng;

i) Thuật toán khóa không đối xứng.

Điều 7. Thời hạn có hiệu lực của chứng thư chữ ký điện tử, chứng thư chữ ký số

1. Thời hạn có hiệu lực của chứng thư chữ ký sổ gốc của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia là 25 năm.

2. Thời hạn có hiệu lực của chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy:

a) Chứng thư chữ ký số cho dịch vụ cấp dấu thời gian có hiệu lực tối đa là 05 năm;

b) Chứng thư chữ ký số cho dịch vụ chứng thực thông điệp dữ liệu có hiệu lực tối đa là 05 năm;

c) Chứng thư chữ ký số cho dịch vụ chứng thực chữ ký số công cộng có hiệu lực tối đa là 10 năm.

3. Thời hạn có hiệu lực của chứng thư chữ ký số công cộng tối đa là 03 năm.

4. Thời hạn có hiệu lực của chứng thư chữ ký điện tử chuyên dùng trong trường hợp chữ ký điện tử chuyên dùng được bảo đảm bởi chứng thư chữ ký điện tử chuyên dùng là 10 năm.

Điều 8. Định dạng chứng thư chữ ký điện tử, chứng thư chữ ký số

Khi cấp, phát hành chứng thư chữ ký điện tử, chứng thư chữ ký số, cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng, các tổ chức cung cấp dịch vụ tin cậy phải tuân thủ quy định về định dạng chứng thư chữ ký điện tử, định dạng chứng thư chữ ký số theo quy định của Bộ trưởng Bộ Thông tin và Truyền thông.

Mục 2. CHỮ KÝ ĐIỆN TỬ CHUYÊN DÙNG BẢO ĐẢM AN TOÀN

Điều 9. Chữ ký điện tử chuyên dùng bảo đảm an toàn

1. Chữ ký điện tử chuyên dùng bảo đảm an toàn phải đáp ứng đủ các yêu cầu theo quy định tại khoản 2 Điều 22 Luật Giao dịch điện tử.

Chữ ký điện tử chuyên dùng được bảo đảm bởi chứng thư chữ ký điện tử của cơ quan, tổ chức tạo lập được xem là đáp ứng đủ các yêu cầu tại khoản 2 Điều 22 Luật Giao dịch điện tử.

2. Chữ ký điện tử chuyên dùng bảo đảm an toàn do cơ quan, tổ chức tạo lập, sử dụng riêng cho hoạt động của cơ quan, tổ chức đó phù hợp với chức năng, nhiệm vụ, bao gồm:

a) Hoạt động nội bộ của cơ quan, tổ chức tạo lập;

b) Hoạt động chuyên ngành hoặc lĩnh vực, có cùng tính chất hoạt động hoặc mục đích công việc và được liên kết với nhau thông qua điều lệ hoạt động hoặc văn bản quy định về cơ cấu tổ chức, hình thức liên kết, hoạt động chung;

c) Hoạt động đại diện cho chính cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn để giao dịch với tổ chức, cá nhân khác.

3. Cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn chịu trách nhiệm trước pháp luật đối với việc sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn theo quy định tại khoản 2 Điều này.

Điều 10. Hồ sơ đề nghị cấp, cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn

1. Hồ sơ cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn:

a) Đơn đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn theo Mẫu số 01 tại Phụ lục ban hành kèm theo Nghị định này;

b) Bản sao hợp lệ, bao gồm bản sao được cấp từ sổ gốc hoặc bản sao có chứng thực hoặc bản sao đối chiếu với bản chính của một trong các giấy tờ sau: giấy chứng nhận đăng ký doanh nghiệp, giấy chứng nhận đăng ký đầu tư đối với nhà đầu tư nước ngoài, quyết định thành lập hoặc văn bản quy định về cơ cấu, tổ chức hoặc giấy chứng nhận, giấy phép tương đương hợp lệ khác theo quy định của pháp luật về đầu tư và pháp luật về doanh nghiệp;

c) Điều lệ hoạt động, văn bản quy định về cơ cấu, tổ chức; về hình thức liên kết, hoạt động chung để chứng minh việc sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn theo khoản 2 Điều 9 của Nghị định này;

d) Văn bản chứng minh việc tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn đáp ứng đủ các yêu cầu tại khoản 1 Điều 9 của Nghị định này theo Mẫu số 03 tại Phụ lục ban hành kèm theo Nghị định này;

đ) Quy chế chứng thực theo quy định tại Điều 29 của Nghị định này.

2. Hồ sơ cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn:

a) Đơn đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn do hết hạn theo Mẫu số 01 tại Phụ lục ban hành kèm theo Nghị định này;

b) Văn bản chứng minh việc tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn đáp ứng đủ các yêu cầu tại khoản 1 Điều 9 của Nghị định này theo Mẫu số 03 tại Phụ lục ban hành kèm theo Nghị định này;

c) Những thông tin thay đổi trong hồ sơ đề nghị cấp quy định tại các điểm b, c, đ khoản 1 Điều này;

d) Báo cáo tình hình thực hiện giấy chứng nhận kể từ ngày được cấp tới ngày đề nghị cấp lại theo Mẫu số 08 tại Phụ lục ban hành kèm theo Nghị định này.

Điều 11. Quy trình tiếp nhận, giải quyết hồ sơ cấp, cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn

1. Cơ quan, tổ chức chuẩn bị 01 bộ hồ sơ tương ứng với đề nghị cấp, cấp lại tại Điều 10 của Nghị định này.

2. Hồ sơ đề nghị được nộp trực tiếp tại Bộ Thông tin và Truyền thông hoặc gửi qua đường bưu chính hoặc qua hệ thống dịch vụ công trực tuyến (Cổng Dịch vụ công quốc gia, https://dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ Thông tin và Truyền thông, https://dichvucong.mic.gov.vn).

3. Việc kiểm tra tính hợp lệ của hồ sơ được thực hiện dựa trên các tiêu chí sau:

a) Hồ sơ được lập theo đúng quy định tại khoản 1 Điều này;

b) Hồ sơ phải được làm bằng tiếng Việt. Hồ sơ phải có đủ dấu xác nhận của cơ quan, tổ chức, dấu chứng thực bản sao; các tài liệu bản in do cơ quan, tổ chức lập có từ 02 tờ văn bản trở lên thì phải đóng dấu giáp lai.

4. Trong thời hạn 07 ngày làm việc kể từ ngày nhận được hồ sơ cấp, cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, Bộ Thông tin và Truyền thông kiểm tra tính hợp lệ của hồ sơ theo quy định tại khoản 3 Điều này.

a) Trường hợp chưa hợp lệ, Bộ Thông tin và Truyền thông gửi thông báo và nêu rõ lý do;

b) Trường hợp hồ sơ hợp lệ, Bộ Thông tin và Truyền thông đề nghị phối hợp thẩm tra hồ sơ với Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan. Trong thời hạn 15 ngày kể từ ngày nhận được đề nghị phối hợp thẩm tra hồ sơ, Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan có trách nhiệm trả lời bằng văn bản;

c) Trong thời hạn 20 ngày kể từ ngày nhận được đầy đủ ý kiến phối hợp thẩm tra quy định tại điểm b khoản này, Bộ Thông tin và Truyền thông thẩm tra, đánh giá thực tế hệ thống thông tin tạo lập và cấp, cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn cho cơ quan, tổ chức. Mẫu chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn quy định theo Mẫu số 02 tại Phụ lục ban hành kèm theo Nghị định này. Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do. Chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn của cơ quan, tổ chức có thời hạn tối đa là 10 năm.

5. Trường hợp cơ quan, tổ chức lựa chọn thực hiện thủ tục cấp, cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn trên môi trường điện tử, việc tiếp nhận và xử lý hồ sơ thực hiện theo quy định của Chính phủ về thực hiện thủ tục hành chính trên môi trường điện tử, cung cấp dịch vụ công trực tuyến của cơ quan nhà nước trên môi trường mạng và pháp luật về giao dịch điện tử, trừ trường hợp đánh giá thực tế quy định tại điểm c khoản 4 Điều này.

6. Trường hợp chữ ký điện tử chuyên dùng bảo đảm an toàn không đáp ứng một trong các yêu cầu quy định tại khoản 2 Điều 22 Luật Giao dịch điện tử, Bộ Thông tin và Truyền thông thu hồi chứng nhận chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn và công bố trên trang thông tin điện tử (https://rootca.gov.vn/) về việc chữ ký điện tử chuyên dùng không bảo đảm an toàn.

Mục 3. CHỮ KÝ SỐ

Điều 12. Chữ ký số công cộng

Chữ ký số công cộng là chữ ký số được sử dụng trong hoạt động công cộng, được bảo đảm bởi chứng thư chữ ký số công cộng và đáp ứng đủ các yêu cầu quy định tại khoản 3 Điều 22 Luật Giao dịch điện tử.

Điều 13. Chứng thư chữ ký số của cơ quan, tổ chức và người có thẩm quyền của cơ quan, tổ chức

1. Tất cả các cơ quan, tổ chức, người có thẩm quyền của cơ quan, tổ chức theo quy định của pháp luật được thành lập và hoạt động hợp pháp đều có quyền được cấp, phát hành chứng thư chữ ký số.

2. Chứng thư chữ ký số cấp cho người có thẩm quyền của cơ quan, tổ chức phải nêu rõ chức danh và tên cơ quan, tổ chức của người đó.

Điều 14. Sử dụng chữ ký số và chứng thư chữ ký số của cơ quan, tổ chức và người có thẩm quyền của cơ quan, tổ chức

1. Chữ ký số của cơ quan, tổ chức và người có thẩm quyền của cơ quan, tổ chức được cấp, phát hành chứng thư chữ ký số theo quy định tại Điều 13 của Nghị định này chỉ được sử dụng để thực hiện các giao dịch và các hoạt động theo đúng thẩm quyền của cơ quan, tổ chức và chức danh được cấp, phát hành chứng thư chữ ký số.

2. Việc ký thay, ký thừa lệnh theo quy định của pháp luật thực hiện bởi người được giao, ủy quyền sử dụng chữ ký số của mình, được hiểu căn cứ vào chức danh của người ký số ghi trên chứng thư chữ ký số.

Điều 15. Nghĩa vụ của người ký trước khi thực hiện ký số

1. Trước khi ký số, người ký phải thực hiện quy trình kiểm tra trạng thái chứng thư chữ ký số như sau:

a) Kiểm tra trạng thái chứng thư chữ ký số của mình trên hệ thống thông tin của cơ quan, tổ chức tạo lập cấp, phát hành chứng thư chữ ký số đó;

b) Kiểm tra trạng thái chứng thư chữ ký số của tổ chức tạo lập, phát hành chứng thư chữ ký số cho mình trên hệ thống chứng thực dịch vụ tin cậy của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;

c) Trường hợp kết quả kiểm tra tại các điểm a và điểm b khoản này đồng thời có hiệu lực, người ký thực hiện ký số. Trường hợp kết quả kiểm tra tại điểm a hoặc điểm b khoản này là không có hiệu lực, người ký số không thực hiện ký số.

2. Sử dụng phần mềm ký số đáp ứng yêu cầu tại Điều 17 của Nghị định này.

Điều 16. Nghĩa vụ của người nhận khi nhận thông điệp dữ liệu được ký số

1. Trước khi chấp nhận chữ ký số của người ký số, người nhận phải kiểm tra các thông tin sau:

a) Trạng thái chứng thư chữ ký số, phạm vi sử dụng, giới hạn trách nhiệm và các thông tin trên chứng thư chữ ký số của người ký phải bảo đảm được định danh theo quy định pháp luật về định danh và xác thực điện tử;

b) Chữ ký số phải được tạo bởi khóa bí mật tương ứng với khóa công khai trên chứng thư chữ ký số của người ký;

c) Đối với chữ ký số được tạo ra bởi chứng thư chữ ký số nước ngoài được công nhận tại Việt Nam, người nhận phải kiểm tra hiệu lực chứng thư chữ ký số trên cả hệ thống chứng thực dịch vụ tin cậy của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia và hệ thống cung cấp dịch vụ chứng thực chữ ký điện tử của tổ chức nước ngoài.

2. Người nhận phải thực hiện quy trình kiểm tra trạng thái chứng thư chữ ký số như sau:

a) Kiểm tra trạng thái chứng thư chữ ký số tại thời điểm thực hiện ký số, phạm vi sử dụng, giới hạn trách nhiệm và các thông tin trên chứng thư chữ ký số đó theo quy định tại Điều 6 của Nghị định này trên hệ thống thông tin của cơ quan, tổ chức tạo lập cấp, phát hành chứng thư chữ ký số đó;

b) Trong trường hợp người ký số sử dụng chứng thư chữ ký số công cộng do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp: kiểm tra trạng thái chứng thư chữ ký số công cộng của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đã phát hành chứng thư chữ ký số công cộng đó tại thời điểm thực hiện ký số trên hệ thống chứng thực dịch vụ tin cậy của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;

c) Chữ ký số trên thông điệp dữ liệu chỉ có hiệu lực khi kết quả kiểm tra tại các điểm a và điểm b khoản này đồng thời có hiệu lực.

3. Người nhận chịu trách nhiệm về việc chấp nhận chứng thư chữ ký số trong các trường hợp sau:

a) Không tuân thủ các quy định tại khoản 1 và khoản 2 Điều này;

b) Đã biết hoặc được thông báo về tình trạng tạm dừng, thu hồi, hết hạn chứng thư chữ ký số của thuê bao.

4. Sử dụng phần mềm kiểm tra chữ ký số đáp ứng yêu cầu tại Điều 17 của Nghị định này.

Điều 17. Yêu cầu đối với phần mềm ký số, phần mềm kiểm tra chữ ký số

1. Phần mềm ký số, phần mềm kiểm tra chữ ký số phải tuân thủ các tiêu chuẩn kỹ thuật về chữ ký số trên thông điệp dữ liệu; không sử dụng rào cản kỹ thuật, công nghệ để hạn chế việc kiểm tra hiệu lực chữ ký số.

2. Đối với phần mềm ký số phải có chức năng sau:

a) Chức năng xác thực chủ thể ký và ký số;

b) Chức năng kiểm tra hiệu lực của chứng thư chữ ký số trong đó thông tin trong chứng thư chữ ký số đã bảo đảm được định danh theo quy định pháp luật về định danh và xác thực điện tử; chức năng kết nối với Cổng kết nối dịch vụ chứng thực chữ ký số công cộng;

c) Chức năng lưu trữ và hủy bỏ các thông tin kèm theo thông điệp dữ liệu ký số;

d) Chức năng thay đổi (thêm, bớt) chứng thư chữ ký số của cơ quan, tổ chức tạo lập cấp, phát hành chứng thư chữ ký số;

đ) Chức năng thông báo (bằng chữ/bằng ký hiệu) cho người ký số biết việc ký số vào thông điệp dữ liệu thành công hay không thành công.

3. Đối với phần mềm kiểm tra chữ ký số phải có chức năng sau:

a) Chức năng kiểm tra tính hợp lệ của chữ ký số trên thông điệp dữ liệu;

b) Chức năng lưu trữ và hủy bỏ các thông tin kèm theo thông điệp dữ liệu ký số;

c) Chức năng thay đổi (thêm, bớt) chứng thư chữ ký số của cơ quan, tổ chức tạo lập cấp, phát hành chứng thư chữ ký số;

d) Chức năng thông báo (bằng chữ/bằng ký hiệu) việc kiểm tra tính hợp lệ của chữ ký số là hợp lệ hay không hợp lệ.

4. Bộ trưởng Bộ Thông tin và Truyền thông quy định yêu cầu kỹ thuật đối với chức năng phần mềm ký số, phần mềm kiểm tra chữ ký số.

Chương III. DỊCH VỤ TIN CẬY

Mục 1. KINH DOANH DỊCH VỤ TIN CẬY

Điều 18. Điều kiện kinh doanh

Doanh nghiệp được quyền đăng ký một hoặc các dịch vụ tin cậy. Khi đăng ký bất kỳ dịch vụ tin cậy, doanh nghiệp phải đáp ứng đủ các điều kiện quy định tại khoản 1 Điều 29 Luật Giao dịch điện tử. Trong đó, các điều kiện tại điểm b, c, d, đ khoản 1 Điều 29 Luật Giao dịch điện tử được quy định chi tiết như sau:

1. Về điều kiện tài chính để giải quyết rủi ro và các khoản đền bù có thể xảy ra trong quá trình cung cấp dịch vụ và thanh toán chi phí tiếp nhận, duy trì cơ sở dữ liệu thông tin liên quan đến hoạt động cung cấp dịch vụ, doanh nghiệp được lựa chọn thực hiện một trong các hình thức sau:

a) Ký quỹ tại một ngân hàng thương mại tại Việt Nam áp dụng cho một hoặc các dịch vụ tin cậy. Mức ký quỹ là 10 tỷ đồng Việt Nam cho mỗi 300 nghìn thuê bao và không thấp hơn 10 tỷ đồng Việt Nam, với điều kiện doanh nghiệp không được thu tiền trả trước quá 01 năm từ thuê bao;

b) Mua bảo hiểm trách nhiệm, thiệt hại đối với hoạt động cung cấp dịch vụ tin cậy để bảo đảm quyền lợi của thuê bao trong suốt thời gian cung cấp dịch vụ.

2. Điều kiện nhân lực quản lý và kỹ thuật:

a) Nhân lực về vận hành hệ thống gồm: quản trị, vận hành, an toàn, an ninh thông tin, kiểm soát quyền ra vào, giám sát và kiểm tra, quản lý vòng đời chứng thư chữ ký số, quản lý vòng đời khóa;

b) Nhân lực cung cấp dịch vụ gồm: kiểm toán kỹ thuật, bảo mật, cấp, tạm dừng, huỷ, cài đặt và bảo hành; xác minh danh tính thuê bao (đối với dịch vụ chứng thực chữ ký số công cộng và dịch vụ chứng thực thông điệp dữ liệu);

c) Nhân lực chịu trách nhiệm về an toàn, an ninh thông tin, bảo mật có trình độ từ đại học trở lên về an toàn thông tin và có kinh nghiệm tối thiểu 02 năm tương ứng với ngành được đào tạo;

d) Nhân lực chịu trách nhiệm về quản trị, vận hành, kiểm toán kỹ thuật, cấp, tạm dừng, huỷ, cài đặt và bảo hành, giám sát và kiểm tra, quản lý vòng đời khóa có trình độ từ đại học trở lên về công nghệ thông tin hoặc gần đào tạo về công nghệ thông tin và có kinh nghiệm tối thiểu 02 năm tương ứng với ngành được đào tạo.

3. Phương án kỹ thuật phục vụ hoạt động cung cấp dịch vụ áp dụng chung cho các loại dịch vụ tin cậy, phải thể hiện các nội dung sau:

a) Tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật, yêu cầu kỹ thuật về chữ ký số, chứng thư chữ ký số; dịch vụ tin cậy; an toàn thông tin mạng; an ninh mạng;

b) Lưu trữ đầy đủ, chính xác và cập nhật thông tin thuê bao; cập nhật danh sách các chứng thư chữ ký số có hiệu lực, bị tạm dừng, bị thu hồi; thuê bao có thể truy cập, sử dụng Internet truy nhập trực tuyến 24 giờ trong ngày và 07 ngày trong tuần;

c) Bảo đảm mỗi cặp khóa được tạo ra ngẫu nhiên và đúng một lần duy nhất; có tính năng bảo đảm khóa bí mật không bị phát hiện khi có khóa công khai tương ứng;

d) Cảnh báo, ngăn chặn và phát hiện truy nhập bất hợp pháp trên môi trường điện tử;

đ) Thành phần quản lý vòng đời chứng thư chữ ký số được thiết kế theo xu hướng giảm thiểu tối đa sự tiếp xúc trực tiếp với môi trường điện tử và độc lập với các hệ thống không phục vụ cho dịch vụ tin cậy;

e) Hệ thống thông tin phải bảo đảm an toàn thông tin mạng tối thiểu cấp độ 3 và bảo vệ dữ liệu cá nhân theo quy định của pháp luật về an toàn thông tin mạng và an ninh mạng;

g) Kiểm soát sự ra vào, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị;

h) Dự phòng bảo đảm duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra, các quy trình thực hiện sao lưu dữ liệu, sao lưu trực tuyến dữ liệu, khôi phục dữ liệu, có khả năng phục hồi dữ liệu chậm nhất là 08 giờ làm việc kể từ thời điểm hệ thống gặp sự cố; trung tâm dự phòng cách xa trung tâm dữ liệu chính tối thiểu 20 kilomet và sẵn sàng hoạt động khi hệ thống chính gặp sự cố;

i) Hệ thống thông tin cung cấp dịch vụ đặt tại Việt Nam;

k) Quy chế chứng thực theo quy định tại Điều 29 của Nghị định này.

4. Đối với dịch vụ chứng thực chữ ký số công cộng, phương án kỹ thuật phải đáp ứng quy định tại khoản 3 Điều này và bổ sung các nội dung sau:

a) Hệ thống phân phối khóa cho thuê bao phải bảo đảm sự toàn vẹn và bảo mật của cặp khóa. Trong trường hợp phân phối khóa thông qua môi trường mạng máy tính thì hệ thống phân phối khóa phải sử dụng các giao thức bảo mật bảo đảm không lộ thông tin trên đường truyền;

b) Giải pháp cung cấp thông tin (chứng thư chữ ký số, báo cáo định kỳ và đột xuất theo quy định) bằng phương tiện điện tử cho tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước.

5. Đối với dịch vụ dấu thời gian và dịch vụ chứng thực thông điệp dữ liệu, phương án kỹ thuật phải đáp ứng quy định tại khoản 3 Điều này và bổ sung các nội dung sau:

a) Nguồn thời gian theo quy định của pháp luật về nguồn thời gian chuẩn quốc gia;

b) Giải pháp cung cấp thông tin (mã bảo đảm toàn vẹn thông điệp dữ liệu, sự kiện giao dịch (event log), báo cáo định kỳ và đột xuất theo quy định) bằng phương tiện điện tử cho tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước.

Điều 19. Hồ sơ đề nghị cấp, cấp lại, thay đổi nội dung, gia hạn giấy phép kinh doanh dịch vụ tin cậy

1. Hồ sơ đề nghị cấp giấy phép kinh doanh dịch vụ tin cậy:

a) Đơn đề nghị cấp giấy phép kinh doanh dịch vụ tin cậy theo Mẫu số 04 tại Phụ lục ban hành kèm theo Nghị định này, trong đó nêu rõ loại hình dịch vụ tin cậy sẽ kinh doanh;

b) Bản sao hợp lệ bao gồm bản sao được cấp từ sổ gốc hoặc bản sao có chứng thực hoặc bản sao đối chiếu với bản chính của một trong các giấy tờ sau: giấy chứng nhận đăng ký doanh nghiệp, giấy chứng nhận đăng ký đầu tư đối với nhà đầu tư nước ngoài, quyết định thành lập hoặc giấy chứng nhận, giấy phép tương đương hợp lệ khác theo quy định của pháp luật về đầu tư và pháp luật về doanh nghiệp;

c) Văn bản chứng minh đáp ứng được các điều kiện về tài chính quy định khoản 1 Điều 18 của Nghị định này;

d) Hồ sơ nhân lực quản lý và kỹ thuật gồm: lý lịch tư pháp, bản sao có chứng thực bằng đại học trở lên của đội ngũ nhân lực quản lý và kỹ thuật theo quy định tại khoản 2 Điều 18 của Nghị định này, bản mô tả về công việc và kinh nghiệm đã có tương ứng với vị trí nhân lực quản lý và kỹ thuật, hợp đồng lao động và quyết định phân công;

đ) Phương án kỹ thuật phục vụ hoạt động cung cấp dịch vụ phù hợp với từng loại dịch vụ tin cậy nhằm bảo đảm quy định tại các khoản 3, 4 và 5 Điều 18 của Nghị định này;

e) Quy chế chứng thực theo quy định tại Điều 29 của Nghị định này.

2. Hồ sơ đề nghị cấp lại giấy phép kinh doanh dịch vụ tin cậy;

a) Đơn đề nghị cấp lại giấy phép do giấy phép cũ hết hạn theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này;

b) Văn bản chứng minh đáp ứng được các điều kiện về tài chính quy định tại khoản 1 Điều 18 của Nghị định này;

c) Những thông tin về việc thay đổi của doanh nghiệp liên quan đến điều kiện kinh doanh theo quy định tại Điều 29 Luật Giao dịch điện tử (nếu có);

d) Báo cáo tình hình thực hiện giấy phép kể từ ngày được cấp tới ngày đề nghị cấp lại theo Mẫu số 08 tại Phụ lục ban hành kèm theo Nghị định này.

3. Hồ sơ đề nghị thay đổi nội dung giấy phép kinh doanh dịch vụ tin cậy

a) Đơn đề nghị thay đổi nội dung giấy phép theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này;

b) Báo cáo mô tả chi tiết nội dung đề nghị thay đổi và các tài liệu liên quan.

4. Hồ sơ đề nghị gia hạn giấy phép kinh doanh dịch vụ tin cậy

a) Đơn đề nghị gia hạn giấy phép kinh doanh dịch vụ tin cậy của doanh nghiệp do giấy phép cũ hết hạn theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này;

b) Văn bản chứng minh đáp ứng được các điều kiện về tài chính quy định tại khoản 1 Điều 18 của Nghị định này;

c) Báo cáo tình hình thực hiện giấy phép kể từ ngày được cấp tới ngày đề nghị gia hạn theo Mẫu số 08 tại Phụ lục ban hành kèm theo Nghị định này.

Điều 20. Quy trình tiếp nhận hồ sơ đề nghị cấp, cấp lại, thay đổi nội dung, gia hạn giấy phép kinh doanh dịch vụ tin cậy

1. Doanh nghiệp chuẩn bị 01 bộ hồ sơ tương ứng với đề nghị cấp, cấp lại, thay đổi nội dung, gia hạn giấy phép kinh doanh dịch vụ tin cậy quy định tại Điều 19 của Nghị định này.

2. Hồ sơ đề nghị được nộp trực tiếp tại Bộ Thông tin và Truyền thông hoặc gửi qua đường bưu chính hoặc qua hệ thống dịch vụ công trực tuyến (Cổng Dịch vụ công quốc gia, https://dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ Thông tin và Truyền thông, https://dichvucong.mic.gov.vn).

3. Việc kiểm tra tính hợp lệ của hồ sơ được thực hiện dựa trên các tiêu chí sau:

a) Hồ sơ được lập theo đúng quy định tại khoản 1 Điều này;

b) Hồ sơ phải được làm bằng tiếng Việt. Hồ sơ phải có đủ dấu xác nhận của cơ quan, tổ chức, dấu chứng thực bản sao; các tài liệu bản in do cơ quan, tổ chức lập có từ 02 tờ văn bản trở lên thì phải đóng dấu giáp lai.

4. Trong thời hạn 07 ngày làm việc kể từ ngày nhận được hồ sơ cấp, cấp lại, thay đổi nội dung, gia hạn giấy phép kinh doanh dịch vụ tin cậy, Bộ Thông tin và Truyền thông kiểm tra tính hợp lệ của hồ sơ theo quy định tại khoản 3 Điều này.

a) Trường hợp chưa hợp lệ, Bộ Thông tin và Truyền thông gửi thông báo và nêu rõ lý do;

b) Trường hợp hồ sơ hợp lệ Bộ Thông tin và Truyền thông xem xét, giải quyết theo quy định tại Điều 21 của Nghị định này.

5. Trường hợp doanh nghiệp lựa chọn thực hiện thủ tục cấp, cấp lại, thay đổi nội dung, gia hạn giấy phép kinh doanh dịch vụ tin cậy trên môi trường điện tử, việc tiếp nhận và xử lý hồ sơ thực hiện theo quy định của Chính phủ về thực hiện thủ tục hành chính trên môi trường điện tử, cung cấp dịch vụ công trực tuyến của cơ quan nhà nước trên môi trường mạng và pháp luật về giao dịch điện tử, trừ trường hợp đánh giá thực tế quy định tại khoản 1 và khoản 2 Điều 21 Nghị định này.

Điều 21. Quy trình giải quyết hồ sơ đề nghị cấp, cấp lại, thay đổi nội dung, gia hạn giấy phép kinh doanh dịch vụ tin cậy

1. Đối với hồ sơ đề nghị cấp giấy phép kinh doanh dịch vụ tin cậy

a) Trong thời hạn 07 ngày làm việc, kể từ ngày nhận được hồ sơ hợp lệ, Bộ Thông tin và Truyền thông đề nghị phối hợp thẩm tra hồ sơ của Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan. Trong thời gian 20 ngày kể từ ngày nhận được đề nghị phối hợp thẩm tra hồ sơ, Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan có trách nhiệm trả lời bằng văn bản;

b) Trong thời hạn 20 ngày kể từ ngày nhận được đầy đủ ý kiến phối hợp thẩm tra quy định tại điểm a khoản này, Bộ Thông tin và Truyền thông thẩm tra và cấp giấy phép theo Mẫu số 06 tại Phụ lục ban hành kèm theo Nghị định này. Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do;

c) Trong vòng 01 năm kể từ khi được cấp phép, tổ chức cung cấp dịch vụ tin cậy phải triển khai trên thực tế các điều kiện quy định tại Điều 18 của Nghị định này; báo cáo triển khai hoạt động cung cấp dịch vụ tin cậy theo Mẫu số 07 tại Phụ lục ban hành kèm theo Nghị định này;

d) Chứng thư chữ ký số được cấp, cấp lại cho tổ chức cung cấp dịch vụ tin cậy trong vòng 30 ngày kể từ ngày nhận được báo cáo quy định tại điểm c khoản này và dựa trên đánh giá thực tế về quy trình vận hành hệ thống và quy chế chứng thực; sự phù hợp của hệ thống thông tin cung cấp dịch vụ tin cậy với hồ sơ cấp giấy phép và chứng kiến việc tạo cặp khóa (khóa bí mật và khóa công khai) của tổ chức cung cấp dịch vụ tin cậy. Trường hợp từ chối, tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia phải thông báo bằng văn bản và nêu rõ lý do.

2. Đối với hồ sơ đề nghị cấp lại giấy phép kinh doanh dịch vụ tin cậy

a) Trường hợp mong muốn tiếp tục cung cấp dịch vụ, doanh nghiệp phải đề nghị cấp lại giấy phép tối thiểu 90 ngày trước ngày giấy phép hết hạn;

b) Trong thời hạn 10 ngày kể từ ngày nhận được hồ sơ hợp lệ, Bộ Thông tin và Truyền thông đề nghị phối hợp thẩm tra hồ sơ với Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan. Trong thời gian 20 ngày kể từ ngày nhận được đề nghị phối hợp thẩm tra hồ sơ, Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan có trách nhiệm trả lời bằng văn bản;

c) Trong thời hạn 15 ngày kể từ ngày nhận được đầy đủ ý kiến phối hợp thẩm tra quy định tại điểm a khoản này, Bộ Thông tin và Truyền thông thẩm tra hồ sơ, và cấp lại giấy phép dựa trên việc đáp ứng điều kiện kinh doanh theo quy định tại Điều 18 của Nghị định này và đánh giá thực tế kết quả hoạt động kinh doanh dịch vụ tin cậy. Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do.

3. Đối với hồ sơ đề nghị thay đổi nội dung giấy phép kinh doanh dịch vụ tin cậy

a) Trường hợp có thay đổi một trong các thông tin về địa chỉ trụ sở, tên giao dịch, doanh nghiệp phải đề nghị thay đổi nội dung giấy phép;

b) Trong thời hạn 07 ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ, Bộ Thông tin và Truyền thông thẩm tra, cấp giấy phép cho doanh nghiệp với các nội dung thay đổi. Trường hợp từ chối cấp, Bộ Thông tin và Truyền thông thông báo bằng văn bản và nêu rõ lý do. Thời hạn của giấy phép thay đổi là thời hạn còn lại của giấy phép đã được cấp.

4. Đối với hồ sơ đề nghị gia hạn giấy phép kinh doanh dịch vụ tin cậy

a) Trường hợp giấy phép kinh doanh dịch vụ tin cậy còn ít nhất 60 ngày trước ngày giấy phép hết hạn nhưng đang trong quá trình chia, tách, hợp nhất, sáp nhập và không bị xử lý vi phạm hành chính trong hoạt động kinh doanh dịch vụ tin cậy trong thời hạn 12 tháng tính đến thời điểm nộp hồ sơ đề nghị gia hạn, doanh nghiệp muốn gia hạn giấy phép kinh doanh dịch vụ tin cậy phải gửi đề nghị gia hạn;

b) Trong thời hạn 30 ngày kể từ ngày nhận đủ hồ sơ hợp lệ, Bộ Thông tin và Truyền thông cấp giấy phép gia hạn theo Mẫu số 06 tại Phụ lục ban hành kèm theo Nghị định này. Trường hợp từ chối, Bộ Thông tin và Truyền thông thông báo bằng văn bản và nêu rõ lý do. Thời hạn của giấy phép gia hạn không quá 01 năm kể từ ngày giấy phép hết hạn.

Điều 22. Tạm đình chỉ giấy phép

1. Tổ chức cung cấp dịch vụ tin cậy bị tạm đình chỉ giấy phép không quá 06 tháng khi thuộc một trong các trường hợp sau:

a) Cung cấp dịch vụ sai với nội dung ghi trên giấy phép;

b) Không đáp ứng được một trong các điều kiện kinh doanh quy định tại Điều 18 của Nghị định này kể từ thời điểm bắt đầu cung cấp dịch vụ;

c) Không thực hiện đúng, đủ trách nhiệm kê khai, nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số theo quy định của pháp luật về phí và lệ phí quá 06 tháng.

2. Thủ tục tạm đình chỉ giấy phép, tạm dừng chứng thư chữ ký số

a) Bộ Thông tin và Truyền thông tổ chức làm việc và lập biên bản làm việc với tổ chức cung cấp dịch vụ tin cậy thuộc một trong các trường hợp quy định tại khoản 1 Điều này. Trong vòng 07 ngày làm việc kể từ ngày phát hành biên bản, Bộ Thông tin và Truyền thông xem xét, ban hành quyết định tạm đình chỉ;

b) Trong thời hạn 05 ngày làm việc, tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia tạm dừng chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy và công bố trên trang thông tin điện tử (https://rootca.gov.vn/) trong trường hợp giấy phép kinh doanh dịch vụ tin cậy bị tạm đình chỉ hoặc hệ thống thông tin cung cấp dịch vụ tin cậy không đáp ứng các quy định về kiểm toán kỹ thuật.

3. Trong thời gian bị tạm đình chỉ giấy phép, trường hợp tổ chức cung cấp dịch vụ tin cậy khắc phục xong lý do bị tạm đình chỉ, Bộ Thông tin và Truyền thông sẽ cho phép tổ chức cung cấp dịch vụ tin cậy được tiếp tục cung cấp dịch vụ; phục hồi chứng thư chữ ký số trong thời hạn 07 ngày làm việc kể từ ngày khắc phục lý do bị tạm dừng.

Điều 23. Thu hồi giấy phép

1. Tổ chức cung cấp dịch vụ tin cậy bị thu hồi giấy phép trong các trường hợp sau đây:

a) Không muốn tiếp tục cung cấp dịch vụ;

b) Giải thể, chấm dứt hoạt động;

c) Bị Tòa án ra quyết định tuyên bố phá sản;

d) Bị sáp nhập, hợp nhất;

đ) Trong vòng 01 năm kể từ khi được cấp phép, tổ chức cung cấp dịch vụ tin cậy không triển khai trên thực tế các điều kiện quy định tại Điều 18 của Nghị định này, trừ sự kiện bất khả kháng hoặc trở ngại khách quan theo quy định của pháp luật mà tổ chức cung cấp dịch vụ tin cậy đã có báo cáo bằng văn bản tới Bộ Thông tin và Truyền thông;

e) Có hành vi giả mạo các văn bản trong hồ sơ đề nghị cấp, gia hạn, cấp lại giấy phép hoặc tẩy xóa, sửa chữa nội dung giấy phép đã được cấp;

g) Không khắc phục lý do bị tạm đình chỉ quy định tại khoản 1 Điều 22 của Nghị định này sau thời hạn tạm đình chỉ ấn định của cơ quan có thẩm quyền;

h) Thực hiện các hành vi bị nghiêm cấm theo quy định tại Điều 6 Luật Giao dịch điện tử.

2. Thủ tục thu hồi giấy phép kinh doanh dịch vụ tin cậy của tổ chức cung cấp dịch vụ tin cậy được thực hiện như sau:

a) Bộ Thông tin và Truyền thông tổ chức làm việc và lập biên bản làm việc với tổ chức cung cấp dịch vụ tin cậy thuộc một trong các trường hợp quy định tại khoản 1 Điều này. Trong vòng 30 ngày kể từ ngày phát hành biên bản, Bộ Thông tin và Truyền thông xem xét, ra quyết định thu hồi, đồng thời yêu cầu tổ chức cung cấp dịch vụ tin cậy: dừng ngay việc giao kết hợp đồng kinh doanh dịch vụ tin cậy; thực hiện bàn giao với tổ chức cung cấp dịch vụ tin cậy khác theo thỏa thuận hoặc theo chỉ định của Bộ Thông tin và Truyền thông hồ sơ, cơ sở dữ liệu sau có liên quan đến hoạt động cung cấp dịch vụ:

Đối với dịch vụ chứng thực chữ ký số công cộng: thông tin thuê bao, hồ sơ thuê bao, dữ liệu chứng thư chữ ký số (danh sách công bố chứng thư chữ ký số, toàn bộ danh sách thu hồi chứng thư chữ ký số trong thời gian cung cấp dịch vụ);

Đối với dịch vụ chứng thực thông điệp dữ liệu: thông tin thuê bao, hồ sơ thuê bao, thông tin xác nhận người nhận, người gửi (dựa trên thông tin thuê bao đăng ký); thông tin về thời gian gửi, nhận thông điệp dữ liệu; thông điệp dữ liệu; mã bảo đảm toàn vẹn thông điệp dữ liệu;

Đối với dịch vụ cấp dấu thời gian: thông tin thuê bao, hồ sơ thuê bao, mã bảo đảm toàn vẹn thông điệp dữ liệu để phục vụ việc xác nhận.

b) Trong thời hạn 05 ngày làm việc, tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy và công bố trên trang thông tin điện tử (https://rootca.gov.vn/) thuộc một trong các trường hợp: giấy phép kinh doanh dịch vụ tin cậy bị thu hồi; chứng thư chữ ký số hết hạn sử dụng; yêu cầu bằng văn bản từ cơ quan có thẩm quyền; yêu cầu bằng văn bản của tổ chức cung cấp dịch vụ tin cậy trong đó nêu rõ lý do thu hồi.

3. Doanh nghiệp không được cấp giấy phép trong thời hạn 03 năm, kể từ ngày bị thu hồi giấy phép vì vi phạm các nội dung quy định tại các điểm đ, e và g khoản 1 Điều này.

4. Bộ Thông tin và Truyền thông giám sát và hướng dẫn việc bàn giao giữa các tổ chức cung cấp dịch vụ tin cậy để bảo đảm việc sử dụng dịch vụ không bị gián đoạn của các thuê bao; yêu cầu tổ chức cung cấp dịch vụ tin cậy bị thu hồi phải hoàn tất thủ tục về bảo hiểm hoặc ký quỹ để giải quyết rủi ro và các khoản đền bù xảy ra và thanh toán chi phí tiếp nhận, duy trì cơ sở dữ liệu thông tin liên quan đến hoạt động cung cấp dịch vụ.

Mục 2. HOẠT ĐỘNG DỊCH VỤ TIN CẬY

Điều 24. Dịch vụ cấp dấu thời gian

Dịch vụ cấp dấu thời gian do tổ chức cung cấp dịch vụ tin cậy cung cấp bao gồm các hoạt động sau:

1. Gắn thời gian vào thông điệp dữ liệu; thời gian được gắn vào thông điệp dữ liệu là ngày và thời gian mà tổ chức cung cấp dịch vụ cấp dấu thời gian nhận được thông điệp dữ liệu đó.

2. Cung cấp thông tin cần thiết để giúp chứng thực thông điệp dữ liệu đó của thuê bao đã gắn ngày, tháng, năm và thời gian trên thông điệp dữ liệu.

3. Thực hiện việc lưu trữ, quản lý thông tin người sử dụng dịch vụ.

4. Cấp, gia hạn, tạm dừng, phục hồi và thu hồi tài khoản của thuê bao.

5. Duy trì trực tuyến dữ liệu về thông tin người sử dụng dịch vụ, dấu thời gian đã cấp.

Điều 25. Dịch vụ chứng thực thông điệp dữ liệu

1. Dịch vụ chứng thực thông điệp dữ liệu gồm:

a) Dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu;

b) Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm.

2. Dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu bao gồm các hoạt động sau:

a) Thực hiện việc lưu trữ, quản lý thông tin người sử dụng dịch vụ (dữ liệu nhận dạng sử dụng dịch vụ, dữ liệu xác thực sử dụng dịch vụ);

b) Lưu trữ dữ liệu về bằng chứng danh tính người gửi đã được xác minh;

c) Lưu trữ nhật ký hoạt động của dịch vụ gửi nhận bảo đảm, xác minh danh tính của người gửi và người nhận và các trao đổi thông tin hoặc dữ liệu giữa người gửi hoặc người nhận;

d) Lưu trữ bằng chứng xác minh danh tính của người nhận trước khi gửi;

đ) Chứng minh thông tin trong thông điệp dữ liệu được bảo đảm toàn vẹn trong quá trình gửi nhận;

e) Cung cấp thông tin tham chiếu đến hoặc bản liệt kê toàn bộ quá trình, nội dung gửi nhận thông điệp dữ liệu và nội dung sửa đổi (nếu có) kèm theo dấu thời gian.

3. Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm bao gồm các hoạt động sau:

a) Chứng thực người gửi;

b) Chứng thực được người nhận trước khi gửi dữ liệu;

c) Việc gửi và nhận dữ liệu được bảo đảm bằng chữ ký số của nhà cung cấp dịch vụ tin cậy đủ điều kiện;

d) Thông báo cho người gửi và người nhận dữ liệu về bất kỳ thay đổi nào của dữ liệu cần thiết cho mục đích gửi hoặc nhận dữ liệu;

đ) Gắn dấu thời gian gửi, nhận thông điệp dữ liệu.

Điều 26. Dịch vụ chứng thực chữ ký số công cộng

1. Dịch vụ chứng thực chữ ký số công cộng là dịch vụ do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cung cấp để xác thực chủ thể ký số trên thông điệp dữ liệu, bảo đảm tính chống chối bỏ của chủ thể ký với thông điệp dữ liệu và bảo đảm tính toàn vẹn của thông điệp dữ liệu được ký. Dịch vụ chứng thực chữ ký số công cộng gồm:

a) Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên các phương tiện lưu khóa bí mật bằng thiết bị phần cứng;

b) Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên thiết bị di động;

c) Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa.

2. Dịch vụ chứng thực chữ ký số công cộng do tổ chức cung cấp dịch vụ tin cậy cung cấp bao gồm các hoạt động quy định tại các Điều 35, 36, 37, 38, 39, 40, 41, 42, 43 và 44 của Nghị định này.

Điều 27. Kiểm toán kỹ thuật

1. Kiểm toán kỹ thuật là hoạt động đánh giá độc lập, khách quan đối với hệ thống thông tin, quy trình cung cấp dịch vụ nhằm xác định việc đáp ứng tiêu chuẩn kỹ thuật bắt buộc áp dụng, quy chuẩn kỹ thuật, yêu cầu kỹ thuật của chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử bảo đảm an toàn, chữ ký số, chứng thư chữ ký số và dịch vụ tin cậy.

2. Bộ Thông tin và Truyền thông quy định kiểm toán kỹ thuật theo quy định tại khoản 1 Điều này phù hợp với pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật.

Điều 28. Mã quản lý thiết bị

1. Mã quản lý thiết bị là một dãy số hoặc chữ hoặc ký hiệu được sử dụng để định danh thiết bị trong hệ thống thông tin dịch vụ tin cậy theo quy định tại khoản 2 Điều này phục vụ công tác quản lý nhà nước.

Mã quản lý bao gồm các trường thông tin: tên, cấu hình, số sê-ri của thiết bị; địa điểm đặt thiết bị và chức năng của thiết bị.

2. Các thiết bị trong hệ thống thông tin cung cấp dịch vụ tin cậy phải gắn mã bao gồm: máy chủ; thiết bị thuộc thành phần quản lý vòng đời chứng thư chữ ký số; thiết bị lưu khóa bí mật; thiết bị lưu trữ; thiết bị mạng và bảo mật.

3. Cấp mã quản lý

a) Phương thức thực hiện được hướng dẫn và đăng ký tự động qua hệ thống dịch vụ công trực tuyến (Cổng Dịch vụ công quốc gia, https://dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ Thông tin và Truyền thông, https://dichvucong.mic.gov.vn hoặc cổng dịch vụ công của Trung tâm Chứng thực điện tử quốc gia, https://neac.gov.vn);

b) Thời điểm đăng ký và gắn mã quản lý trước khi hệ thống bắt đầu cung cấp dịch vụ tin cậy và ngay khi thay đổi bất kỳ thiết bị gắn mã;

c) Thời hạn cấp mã quản lý: trong vòng 08 giờ làm việc kể từ khi nhận được thông báo tự động hoàn tất đăng ký.

4. Tổ chức cung cấp dịch vụ tin cậy có trách nhiệm đăng ký và gắn mã được cấp tự động vào thiết bị theo quy định tại khoản 2 và khoản 3 Điều này.

Điều 29. Quy chế chứng thực mẫu

1. Quy chế chứng thực mẫu bao gồm tối thiểu các nội dung về chính sách chứng thư chữ ký điện tử, phạm vi, mục đích sử dụng, đối tượng được cấp, phát hành, yêu cầu đối với vòng đời hoạt động của chứng thư chữ ký điện tử/chứng thư chữ ký số.

2. Bộ Thông tin và Truyền thông ban hành quy chế chứng thực mẫu theo quy định tại khoản 1 Điều này.

3. Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, tổ chức cung cấp dịch vụ tin cậy và tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn có trách nhiệm xây dựng, công khai, thực hiện quy chế chứng thực trên cơ sở quy chế chứng thực mẫu. Khi có sự thay đổi thông tin trong quy chế chứng thực phải thông báo bằng văn bản đến Bộ Thông tin và Truyền thông (Trung tâm Chứng thực điện tử quốc gia).

Điều 30. Liên thông với tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia

Việc liên thông của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia với tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, với tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ; việc cập nhật trạng thái của chứng thư chữ ký điện tử nước ngoài vào hệ thống chứng thực dịch vụ tin cậy phải bảo đảm các yêu cầu sau theo quy định của Bộ Thông tin và Truyền thông:

1. Hệ thống thông tin phải bảo đảm cho việc kiểm tra trạng thái chứng thư chữ ký điện tử, chứng thư chữ ký số và kiểm tra hiệu lực chữ ký số.

2. Hệ thống thông tin phải có công cụ, biện pháp để bảo vệ dữ liệu và xác thực dữ liệu trong quá trình kết nối liên thông.

3. Các điều kiện kỹ thuật phục vụ liên thông, kết nối cung cấp thông tin để kiểm tra trạng thái chứng thư chữ ký điện tử, chứng thư chữ ký số và kiểm tra hiệu lực chữ ký số.

Điều 31. Trách nhiệm của tổ chức cung cấp dịch vụ tin cậy

1. Thực hiện trách nhiệm theo quy định tại Điều 30 Luật Giao dịch điện tử, quy định pháp luật về an toàn thông tin mạng, an ninh mạng, bảo vệ dữ liệu cá nhân.

2. Thực hiện kiểm toán kỹ thuật định kỳ 02 năm.

3. Trường hợp bị tạm đình chỉ, tổ chức cung cấp dịch vụ tin cậy có trách nhiệm duy trì hệ thống cơ sở dữ liệu liên quan đến chứng thư chữ ký số công cộng đã phát hành cho đến khi được phục hồi chứng thư chữ ký số.

4. Trường hợp bị tạm đình chỉ, tổ chức cung cấp dịch vụ tin cậy có trách nhiệm duy trì cơ sở dữ liệu thông tin liên quan đến hoạt động cung cấp dịch vụ cho đến khi được phục hồi chứng thư chữ ký số.

Điều 32. Trách nhiệm của tổ chức, cá nhân khi áp dụng dấu thời gian, kiểm tra dấu thời gian của thông điệp dữ liệu và phát triển phần mềm ứng dụng dấu thời gian

1. Trường hợp cần xác thực về thời gian ký thông điệp dữ liệu, người nhận kiểm tra dấu thời gian được gắn với thông điệp dữ liệu và các thông tin liên quan về dấu thời gian phải được cấp bởi tổ chức cung cấp dịch vụ tin cậy về dấu thời gian được cấp phép.

2. Người nhận sử dụng công cụ phần mềm kiểm tra và quy trình kiểm tra đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật về dấu thời gian hoặc kiểm tra dấu thời gian trên cả hệ thống chứng thực dịch vụ tin cậy của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia và hệ thống thông tin của tổ chức cung cấp dịch vụ tin cậy.

3. Người nhận phải chịu trách nhiệm về việc chấp nhận dấu thời gian trong các trường hợp sau:

a) Không tuân thủ các quy định tại khoản 1 và khoản 2 Điều này;

b) Đã biết hoặc được thông báo về tình trạng tạm dừng, thu hồi, hết hạn chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy về dấu thời gian trên trên trang thông tin điện tử https://rootca.gov.vn/.

Điều 33. Trách nhiệm của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia

1. Xây dựng, quản lý, khai thác và phát triển hạ tầng chứng thực điện tử quốc gia; quản lý, cung cấp dịch vụ cho các tổ chức cung cấp dịch vụ tin cậy, các cơ quan, tổ chức được cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, tổ chức, cá nhân sử dụng chữ ký số, chứng thư chữ ký số, các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài và các cơ quan, tổ chức, cá nhân sử dụng chữ ký điện tử, chứng thư chữ ký điện tử được công nhận tại Việt Nam.

2. Công bố và cập nhật trên trang thông tin điện tử https://rootca.gov.vn/ những thông tin sau: danh sách các tổ chức cung cấp dịch vụ tin cậy, các cơ quan, tổ chức được cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài, chữ ký điện tử nước ngoài, chứng thư chữ ký điện tử nước ngoài được công nhận tại Việt Nam; quy chế chứng thực; danh sách chứng thư chữ ký số có hiệu lực, hết hạn, bị tạm dừng, bị thu hồi và những thông tin cần thiết khác.

3. Điều phối các hoạt động xử lý sự cố liên quan đến dịch vụ chứng thực chữ ký số và xác thực điện tử, dịch vụ cấp dấu thời gian và các dịch vụ khác theo quy định pháp luật giao dịch điện tử; cập nhật, lưu trữ đầy đủ, chính xác thông tin yêu cầu chứng thực theo quy định của pháp luật.

4. Đánh giá thực tế quy trình vận hành hệ thống thông tin cung cấp dịch vụ tin cậy, quy chế chứng thực, sự phù hợp của hệ thống thông tin cung cấp dịch vụ tin cậy với hồ sơ cấp giấy phép, việc tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn và chứng kiến việc tạo cặp khóa bí mật và khóa công khai của tổ chức cung cấp dịch vụ tin cậy.

5. Tự cấp chứng thư chữ ký số, tạo cặp khóa cho mình và cấp, tạm dừng, thu hồi chứng thư chữ ký số cho các tổ chức cung cấp dịch vụ tin cậy được quy định tại Chương III Nghị định này: tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia đóng vai trò và có quyền, nghĩa vụ như tổ chức cung cấp dịch vụ tin cậy theo quy định tại Chương III của Nghị định này. Các tổ chức cung cấp dịch vụ tin cậy đóng vai trò và có quyền, nghĩa vụ như thuê bao theo quy định tại Chương III của Nghị định này.

6. Tổ chức thu, quản lý và sử dụng phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số theo quy định pháp luật phí và lệ phí.

7. Nghiên cứu, xây dựng, quản lý, vận hành hệ thống thử nghiệm, kiểm tra, đánh giá, hiệu chuẩn và đo kiểm tiêu chuẩn, chất lượng sản phẩm, dịch vụ chuyên ngành liên quan đến chữ ký điện tử và dịch vụ tin cậy theo quy định pháp luật giao dịch điện tử.

8. Kiểm tra việc đáp ứng các yêu cầu đối với chữ ký điện tử chuyên dùng bảo đảm an toàn và sự tuân thủ các điều kiện kinh doanh dịch vụ tin cậy.

9. Triển khai các hoạt động hợp tác quốc tế về chữ ký điện tử và dịch vụ tin cậy; phối hợp, hỗ trợ các cơ quan, tổ chức liên quan tích hợp dịch vụ tin cậy vào các ứng dụng công nghệ thông tin nhằm bảo đảm xác thực, an toàn.

................

Mời bạn tham khảo các văn bản pháp luật khác có liên quan trên chuyên mục Văn bản pháp luật được đăng tải trên HoaTieu.vn.