1. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng là gì?
Nghị định 130/2018/NĐ-CP giải thích: Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng là tổ chức cung cấp dịch vụ chứng thực chữ ký số cho cơ quan, tổ chức, cá nhân sử dụng trong các hoạt động công cộng. Hoạt động cung cấp dịch vụ chứng thực chữ ký số của các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng là hoạt động kinh doanh có điều kiện theo quy định của pháp luật.
2. Dịch vụ chứng thực chữ ký số là gì?
Dịch vụ chứng thực chữ ký số là một loại hình dịch vụ chứng thực chữ ký điện tử do tổ chức cung cấp dịch vụ chứng thực chữ ký số cung cấp cho thuê bao để xác thực việc thuê bao là người đã ký số trên thông điệp dữ liệu. Dịch vụ chứng thực chữ ký số bao gồm:
– Tạo cặp khóa hoặc hỗ trợ tạo cặp khóa bao gồm khóa công khai và khóa bí mật cho thuê bao.
– Cấp, gia hạn, tạm dừng, phục hồi và thu hồi chứng thư số của thuê bao.
– Duy trì trực tuyến cơ sở dữ liệu về chứng thư số.
– Cung cấp thông tin cần thiết để giúp chứng thực chữ ký số của thuê bao đã ký số trên thông điệp dữ liệu.
3. Hoạt động cung cấp dịch vụ của các tổ chức cung cấp dịch vụ chứng thực chứ ký số công cộng
3.1. Tiếp nhận hồ sơ cấp chứng thư số của thuê bao
Khoản 11 Điều 3 Nghị định 130 giải thích: Thuê bao là cơ quan, tổ chức, cá nhân được cấp chứng thư số, chấp nhận chứng thư số và giữ khóa bí mật tương ứng với khóa công khai ghi trên chứng thư số được cấp đó.
Hồ sơ cấp chứng thư số của thuê bao gồm:
– Đơn cấp chứng thư số theo mẫu của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
– Giấy tờ kèm theo bao gồm:
+ Đối với cá nhân: Chứng minh nhân dân hoặc căn cước công dân hoặc hộ chiếu;
+ Đối với tổ chức: Quyết định thành lập hoặc quyết định quy định về chức năng, nhiệm vụ, quyền hạn, cơ cấu tổ chức hoặc giấy chứng nhận đăng ký doanh nghiệp hoặc giấy chứng nhận đầu tư; chứng minh nhân dân, hoặc căn cước công dân hoặc hộ chiếu của người đại diện theo pháp luật của tổ chức.
Cá nhân, tổ chức có quyền lựa chọn nộp bản sao từ sổ gốc, bản sao có chứng thực hoặc nộp bản sao xuất trình kèm bản chính để đối chiếu.
3.2. Tạo khóa và phân phối khóa cho thuê bao
Điều 24 Nghị định 130 quy định cụ thể về hoạt động tạo khoán và phân phối khóa cho thuê bao như sau:
– Tổ chức, cá nhân đề nghị cấp chứng thư số có thể tự tạo cặp khóa hoặc yêu cầu bằng văn bản tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tạo cặp khóa cho mình.
– Trường hợp tổ chức, cá nhân đề nghị cấp chứng thư số tự tạo cặp khóa, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cần đảm bảo chắc chắn rằng tổ chức, cá nhân đó đã sử dụng thiết bị theo đúng tiêu chuẩn quy định để tạo ra và lưu trữ cặp khóa.
– Trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tạo cặp khóa, tổ chức đó phải đảm bảo sử dụng các phương thức an toàn để chuyển giao khóa bí mật đến tổ chức, cá nhân đề nghị cấp chứng thư số và chỉ được lưu bản sao của khóa bí mật khi tổ chức, cá nhân đề nghị cấp chứng thư số có yêu cầu bằng văn bản.
3.3. Cấp chứng thư số cho thuê bao
Theo quy định tại Điều 25 Nghị định 130, Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp chứng thư số cho thuê bao sau khi kiểm tra được các nội dung sau đây:
a) Thông tin trong hồ sơ đề nghị cấp chứng thư số của thuê bao là chính xác;
b) Khóa công khai trên chứng thư số sẽ được cấp là duy nhất và cùng cặp với khóa bí mật của tổ chức, cá nhân đề nghị cấp chứng thư số.
Chứng thư số chỉ được cấp cho người đề nghị cấp và phải có đầy đủ những thông tin:
+ Tên của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
+ Tên của thuê bao.
+ Số hiệu chứng thư số.
+ Thời hạn có hiệu lực của chứng thư số.
+ Khóa công khai của thuê bao.
+ Chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
+ Các hạn chế về mục đích, phạm vi sử dụng của chứng thư số.
+ Các hạn chế về trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký số.
+ Thuật toán mật mã.
+ Các nội dung cần thiết khác theo quy định của Bộ Thông tin và Truyền thông.
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng chỉ được công bố chứng thư số đã cấp cho thuê bao trên cơ sở dữ liệu về chứng thư số của mình sau khi có xác nhận của thuê bao về tính chính xác của thông tin trên chứng thư số đó; thời hạn để công bố chậm nhất là 24 giờ sau khi đã có xác nhận của thuê bao; trừ trường hợp có thỏa thuận khác.
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng không được từ chối cấp chứng thư số cho tổ chức, cá nhân đề nghị cấp chứng thư số nếu không có lý do chính đáng.
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải đảm bảo an toàn trong suốt quá trình tạo và chuyển giao chứng thư số cho thuê bao.
3.4. Gia hạn chứng thư số cho thuê bao
Ít nhất là 30 ngày trước ngày hết hạn của chứng thư số, thuê bao có quyền yêu cầu gia hạn chứng thư số.
Khi nhận được yêu cầu gia hạn của thuê bao, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có nghĩa vụ hoàn thành các thủ tục gia hạn chứng thư số trước khi hết hiệu lực.
Trường hợp thay đổi khóa công khai trên chứng thư số được gia hạn, thuê bao phải yêu cầu rõ; việc tạo khóa, phân phối khóa và công bố chứng thư số được gia hạn thực hiện theo quy định đã chia sẻ ở các mục trên.
Trong trường hợp thuê bao có nhu cầu thay đổi cặp khóa, thuê bao phải có đơn đề nghị thay đổi cặp khóa.
3.5. Tạm dừng, phục hồi chứng thư số của thuê bao
Nghị định 130 quy định: Chứng thư số của thuê bao bị tạm dừng trong các trường hợp sau đây:
a) Khi thuê bao yêu cầu bằng văn bản và yêu cầu này đã được tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng xác minh là chính xác;
b) Khi tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có căn cứ để khẳng định rằng chứng thư số được cấp không tuân theo các quy định tại các Điều 24 và 25 Nghị định này hoặc khi phát hiện ra bất cứ sai sót nào có ảnh hưởng đến quyền lợi của thuê bao và người nhận;
c) Khi có yêu cầu của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ Thông tin và Truyền thông;
d) Theo điều kiện tạm dừng chứng thư số đã được quy định trong hợp đồng giữa thuê bao và tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
Khi có căn cứ tạm dừng chứng thư số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải tiến hành tạm dừng, đồng thời, thông báo ngay cho thuê bao và công bố trên cơ sở dữ liệu về chứng thư số việc tạm dừng, thời gian bắt đầu và kết thúc việc tạm dừng.
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải phục hồi chứng thư số khi không còn căn cứ để tạm dừng chứng thư số hoặc thời hạn tạm dừng theo yêu cầu đã hết.
3.6. Thu hồi chứng thư số của thuê bao
Chứng thư số của thuê bao bị thu hồi trong những trường hợp sau đây:
a) Khi thuê bao yêu cầu bằng văn bản và yêu cầu này đã được tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình xác minh là chính xác;
b) Khi thuê bao là cá nhân đã chết hoặc mất tích theo tuyên bố của tòa án hoặc thuê bao là tổ chức giải thể hoặc phá sản theo quy định của pháp luật;
c) Khi có yêu cầu của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ Thông tin và Truyền thông;
d) Theo điều kiện thu hồi chứng thư số đã được quy định trong hợp đồng giữa thuê bao và tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
Khi có căn cứ thu hồi chứng thư số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải thu hồi chứng thư số, đồng thời, thông báo ngay cho thuê bao và công bố trên cơ sở dữ liệu về chứng thư số việc thu hồi.
3.7. Dịch vụ cấp dấu thời gian
Dịch vụ cấp dấu thời gian là dịch vụ giá trị gia tăng để gắn thông tin về ngày, tháng, năm và thời gian vào thông điệp dữ liệu.
Dịch vụ cấp dấu thời gian được cung cấp bởi tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng. Việc cung cấp dịch vụ cấp dấu thời gian phải tuân theo các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng đối với dịch vụ cấp dấu thời gian.
Ngày, tháng, năm và thời gian được gắn vào thông điệp dữ liệu là ngày, tháng, năm và thời gian mà tổ chức cung cấp dịch vụ cấp dấu thời gian nhận được thông điệp dữ liệu đó và được chứng thực bởi tổ chức cung cấp dịch vụ cấp dấu thời gian.
Nguồn thời gian của các tổ chức cung cấp dịch vụ cấp dấu thời gian phải tuân theo các quy định của pháp luật về nguồn thời gian chuẩn quốc gia.
4. Nghĩa vụ của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng
4.1. Đối với thuê bao
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải thực hiện nghĩa vụ sau đây đối với thuê bao:
i) Đảm bảo việc sử dụng dịch vụ của thuê bao là liên tục, không bị gián đoạn trong suốt thời gian hiệu lực của chứng thư số và việc kiểm tra trạng thái chứng thư số của thuê bao là liên tục.
ii) Giải quyết các rủi ro và các khoản đền bù xảy ra cho thuê bao và người nhận trong trường hợp lỗi được xác định của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
iii) Đảm bảo an toàn thông tin riêng, thông tin cá nhân và thiết bị lưu trữ chứng thư số cho thuê bao theo quy định của pháp luật về an toàn thông tin và pháp luật khác có liên quan.
iv) Tiếp nhận thông tin: Đảm bảo kênh tiếp nhận thông tin hoạt động 24 giờ trong ngày và 7 ngày trong tuần từ thuê bao liên quan đến việc sử dụng chứng thư số.
v) Liên quan đến hoạt động quản lý khóa:
– Thông báo ngay cho thuê bao, đồng thời áp dụng những biện pháp ngăn chặn và khắc phục kịp thời trong trường hợp phát hiện thấy dấu hiệu khóa bí mật của thuê bao đã bị lộ, không còn toàn vẹn hoặc bất cứ sự sai sót nào khác có nguy cơ ảnh hưởng xấu đến quyền lợi của thuê bao;
– Khuyến cáo cho thuê bao việc thay đổi cặp khóa khi cần thiết nhằm đảm bảo tính tin cậy và an toàn cao nhất cho cặp khóa.
vi) Trong trường hợp phải tạm dừng cấp chứng thư số mới: Trong thời gian tạm dừng, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm duy trì hệ thống cơ sở dữ liệu liên quan đến chứng thư số đã cấp.
vii) Khi bị thu hồi giấy phép, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải thông báo ngay cho thuê bao về việc ngừng cung cấp dịch vụ của mình và thông tin về tổ chức tiếp nhận cơ sở dữ liệu của mình để đảm bảo quyền lợi sử dụng dịch vụ của thuê bao.
viii) Xây dựng hợp đồng mẫu với thuê bao trong đó bao gồm các nội dung:
+ Phạm vi, giới hạn sử dụng, mức độ bảo mật, chi phí liên quan đến việc cấp và sử dụng chứng thư số và những thông tin khác có khả năng ảnh hưởng đến quyền lợi của thuê bao;
+ Yêu cầu đảm bảo sự an toàn trong lưu trữ và sử dụng khóa bí mật;
+ Thủ tục khiếu nại và giải quyết tranh chấp.
Thực hiện các quyền và nghĩa vụ của bên giao đại lý theo quy định của pháp luật về thương mại.
4.2. Đối với cơ quan quản lý nhầ nước về chữ ký số và dịch vụ chứng thực chữ ký số
Đối với cơ quan quản lý nhà nước về chữ ký số và dịch vụ chứng thực chữ ký số phải thực hiện nghĩa vụ sau:
i) Công bố thông tin: Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải công khai và duy trì thông tin 24 giờ trong ngày và 7 ngày trong tuần trên trang tin điện tử của mình những thông tin sau:
– Quy chế chứng thực và chứng thư số của mình;
– Danh sách chứng thư số có hiệu lực, bị tạm dừng, bị thu hồi của thuê bao;
– Những thông tin cần thiết khác theo quy định của pháp luật.
ii) Cập nhật thông tin: Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải cập nhật các thông tin quy định tại khoản 1 Điều này trong vòng 24 giờ khi có thay đổi.
iii) Cung cấp thông tin: Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải cung cấp trực tuyến theo thời gian thực cho Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia thông tin về số lượng chứng thư số đang có hiệu lực, bị tạm dừng, bị thu hồi để phục vụ công tác quản lý nhà nước về dịch vụ chứng thực chữ ký số.
iv) Lưu trữ thông tin: Lưu trữ toàn bộ thông tin liên quan đến việc tạm đình chỉ hoặc thu hồi giấy phép và các cơ sở dữ liệu về thuê bao, chứng thư số trong thời gian ít nhất 05 năm, kể từ khi giấy phép bị tạm đình chỉ hoặc thu hồi.
v) Nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư số theo quy định.
vi) Báo cáo định kỳ và đột xuất theo quy định của Bộ Thông tin và Truyền thông và yêu cầu của các cơ quan nhà nước có thẩm quyền.