Những biến động từ đại dịch đã khiến nhu cầu chuyển đổi các giao dịch trong hoạt động kinh doanh của doanh nghiệp sang dạng thức điện tử. Đi cùng với đó là rất nhiều những quy định pháp lý trong giao dịch điện tử nhằm đảm bảo tính tin cậy, toàn vẹn và chống chối bỏ của tài liệu, thông điệp điện tử sinh ra khi giao dịch điện tử.
1. Hệ thống pháp luật về giao dịch điện tử
Hiện tại, hành lang pháp lý tại Việt Nam về giao dịch điện tử, số hóa quy trình paperless trong tổ chức, ký điện tử, ký số và lưu trữ điện tử đã có với cao nhất là Luật giao dịch điện tử 2005, Nghị định 130/2018/NĐ-CP quy định thi hành luật Giao dịch điện tử về chữ ký số và chứng thực chữ ký số. Cùng với đó là các quy định từ Bộ Thông tin và Truyền thông: Thông tư 06/2015/TT-BTTTT, Thông tư 16/2019/TT-BTTTT, Thông tư 22/2020/TT-BTTTT về các tiêu chuẩn về ký số, phần mềm ký số và phần mềm ứng dụng chữ ký số và những luật chuyên ngành như Nghị định 165/2018/NĐ-CP, Nghị định 35/2007/NĐ-CP cho Tài chính – Ngân hàng, Nghị định 52/2013/NĐ-CP về thương mại điện tử, Thông tư 02/2019/TT-BNV, Nghị định 30/2020/NĐ-CP về lưu trữ điện tử.
Tuy nhiên để triển khai, áp dụng đầy đủ còn nhiều vướng mắc. Bài toán khó đối với các tổ chức là cân bằng giữa trải nghiệm người dùng, đơn giản, dễ dùng với tính tin cậy, tuân thủ pháp lý và hiệu quả về chi phí. Về tính tin cậy, các giao dịch điện tử phải đảm bảo liên kết danh tính, định danh người ký, đảm bảo tính toàn vẹn dữ liệu cả quá trình khởi tạo, truyền gửi, lưu trữ dữ liệu, lưu trữ bằng chứng, chứng cứ điện tử trong tranh tụng, tranh chấp pháp lý. Đặc biệt là vấn đề xác thực tài liệu điện tử không phụ thuộc vào công nghệ, thời gian lưu trữ, cũng như không phụ thuộc vào chứng thư số bị hết hạn hay bị thu hồi.
Dù quy định đã có nhưng phần lớn các tổ chức đều chưa có đầy đủ hệ thống đảm bảo đáp ứng tính tin cậy và tuân thủ đầy đủ pháp luật. Thậm chí, những đơn vị cung cấp dịch vụ liên quan cũng chưa nhận thức thấu đáo.
Việc áp dụng chữ ký số, chữ ký điện tử, con dấu điện tử lên tài liệu điện tử, thông điệp điện tử nhằm định danh người ký, thay thế dần chữ ký tay, con dấu đỏ đã trở nên thông dụng nhưng đảm bảo tính tin cậy, toàn vẹn, chống chối bỏ, bất kỳ thay đổi, sửa xóa nào trên tài liệu đều bị phát hiện, tuân thủ quy định pháp luật thì hầu hết các giải pháp ký số chưa đáp ứng được. Trong khi đây là yêu cầu bắt buộc và tối quan trọng khi giao dịch điện tử.
2. Rủi ro của tài liệu điện tử, thông điệp điện tử trong lưu trữ điện tử dài hạn
Phần lớn chữ ký số, chữ ký điện tử hiện nay đang sử dụng nguồn thời gian là nguồn thời gian của máy tính, máy chủ ký số, máy chủ ứng dụng chữ ký số gây rủi ro về tính bằng chứng, chứng cứ của tài liệu, thông điệp điện tử.
Thông điệp dữ liệu gắn kèm dấu thời gian timestamp theo quy định tại Điều 30, Nghị định 130/2018/NĐ-CP là điều kiện đảm bảo tính tin cậy, chống chối bỏ cao nhất trong giao dịch điện tử. Việc triển khai, áp dụng thiếu triệt để các quy định pháp luật của người dùng và các đơn vị cung cấp dịch vụ đã gây ra những bất lợi trong lưu trữ điện tử lâu dài khi tài liệu không thể xác thực trong dài hạn, không thể chứng minh được giá trị pháp lý khi chứng thư số hết hạn hoặc bị thu hồi.
Chữ ký số cơ bản sẽ có vòng đời phụ thuộc vào thời hạn chứng thư số và chỉ đáp ứng giao dịch điện tử cơ bản, có thời hạn lưu trữ ngắn hạn. Trong trường hợp yêu cầu lưu trữ dài hạn, toàn vẹn dữ liệu, tra cứu xác thực lâu dài thì việc triển khai chữ ký số cơ bản sẽ ko đảm bảo các tiêu chuẩn kỹ thuật.
Trong trường hợp áp dụng ký số đóng dấu thời gian timestamp từ nguồn thời gian tin cậy đáp ứng Thông tư 06/2015/TT-BTTTT, tài liệu điện tử sẽ có thể đưa vào lưu trữ dài hạn trong 5 năm, 10 năm, 20 năm hoặc vĩnh viễn, dễ dàng kiểm tra trạng thái chứng thư số tại thời điểm ký mà không phụ thuộc vào thời hạn chứng thư số. Tuy nhiên, hơn 90% các tổ chức, doanh nghiệp vẫn chưa áp dụng dấu thời gian timestamp trong ký số tài liệu. Rất ít nhà cung cấp dịch vụ tin cậy tại Việt Nam có hiểu biết và triển khai các dịch vụ đáp ứng các tiêu chuẩn về chữ ký số lâu dài, áp dụng ký số đóng dấu thời gian timestamp, cung cấp thông tin về dấu thời gian, thông tin về thu hồi chứng thư số phục vụ lưu trữ, xác thực tài liệu điện tử.
3. Giải pháp hoàn chỉnh cho ký số lâu dài, lưu trữ điện tử dài hạn
SAVIS là tổ chức đầu tiên và duy nhất có khả năng cung cấp đồng thời cả hai dịch vụ quan trọng nhất trong ký số đó là: Dịch vụ chứng thực điện tử cấp dấu thời gian TrustCA Timestamp và Dịch vụ ký số, con dấu điện tử đảm bảo từ mô hình ký số từ xa Remote Signing theo tiêu chuẩn EU eIDAS QTSP – TrustCA Qualified Remote Signing.
Năng lực công nghệ và hạ tầng có thể đáp ứng mọi tiêu chuẩn kỹ thuật, quy trình quản lý, vận hành, an ninh hệ thống theo các điều khoản khắt khe nhất của Quy định eIDAS, ISO/IEC 27001 cũng như các quy định của Việt Nam tại Nghị định 130/2018/NĐ-CP và Thông tư 16/2019/TT-BTTTT đã giúp SAVIS có được lợi thế dẫn đầu thị trường, từ đó phát triển hệ giải pháp ký số toàn diện nhất mà chưa một nhà cung cấp dịch vụ chứng thực chữ ký số công cộng nào có thể thực hiện. Điều này cho vị thế dẫn đầu Việt Nam về cung cấp giải pháp – dịch vụ ký số của SAVIS.
TrustCA Timestamp giúp xác thực sự tồn tại của tài liệu điện tử tại mốc thời gian tin cậy, đồng thời đảm bảo tính toàn vẹn của tài liệu. Bên cạnh, ký số đóng dấu thời gian Timestamp, ký điện tử an toàn gắn dấu thời gian timestamp, xác thực lâu dài LTV sẽ là bức tường an toàn nhất bảo vệ tài liệu, là giải pháp tối ưu trong lưu trữ tài liệu điện tử lâu dài từ 5 năm, 10 năm, 20 năm hoặc vĩnh viễn.
Chứng nhận QTSP cho nhà cung cấp dịch vụ tin cậy về dịch vụ ký số, con dấu điện tử đảm bảo theo mô hình ký số từ xa Remote Signing đầu tiên tại Việt Nam của SAVIS là bước phát triển lớn cho thị trường chữ ký số, đưa việc sử dụng ký số trong giao dịch điện tử, số hoá tài liệu trở nên phổ biến hơn nữa tại Việt Nam. Bởi với ký số từ xa, ký số HSM, người dùng hoàn toàn có thể ký số mọi lúc, mọi nơi, trên bất kỳ thiết bị nào như laptop, máy tính bảng hay điện thoại thông minh với mức độ an toàn, xác thực người dùng mức độ cao nhất. Đây là mô hình theo tiêu chuẩn SCAL2 của châu Âu, đảm bảo khóa ký sẽ được điều khiển duy nhất bởi thuê bao của người ký và được kiểm soát bởi người ký. Đặc biệt, QTSP cũng giúp các dịch vụ – giải pháp ký số, con dấu điện tử đảm bảo của SAVIS được công nhận rộng rãi trên toàn lãnh thổ châu Âu, mang đến lợi thế cạnh tranh lớn cho các tổ chức, doanh nghiệp Việt Nam khi giao dịch điện tử, thương mại điện tử xuyên biên giới.
Đối với giải pháp Chứng chỉ, chứng nhận điện tử – SAVIS eCertify, bất kỳ khách hàng nào không hiểu về công nghệ, kỹ thuật cũng có thể nhận thấy dấu chứng thực điện tử với thương hiệu của tổ chức cấp kèm đầy đủ thông tin về chứng thư số. Mô hình xác thực lâu dài đảm bảo kết nối với máy chủ dấu thời gian timestamp TSA và các hệ thống ký số của CA công cộng bất kỳ giúp người dùng có thể chứng thực tài liệu điện tử và ký chứng thực, công chứng, xác thực tài liệu trong dài hạn.
Cùng với đó, SAVIS đã phát triển hệ thống sản phẩm, giải pháp ký số, ký điện tử an toàn, lưu trữ điện tử phục vụ quá trình số hóa toàn diện trong tổ chức.
- GOSIGN – Giải pháp hợp đồng điện tử và số hóa quy trình
- SAVIS eCertify – Giải pháp Chứng chỉ, chứng nhận điện tử đầu tiên tại Việt Nam
- SAVIS eContract – Giải pháp hợp đồng điện tử
- SAVIS DocVerify – Phần mềm kiểm tra và xác thực chữ ký số
- SAVIS Signing BOX – Giải pháp ký số all-in-one đầu tiên tại Việt Nam
- SAVIS eSign Server – Hệ thống ký số bảo mật
- SAVIS PKI Solution – Giải pháp turnkey về hạ tầng khóa công khai
- TrustCA Cloud HSM – Module bảo mật phần cứng được lưu trữ trên đám mây
- Chứng thư số/chữ ký số HSM
- SAVIS Signing Hub – Cổng xác thực chữ ký số và ký số tập trung, ký số từ xa
- SAM – Thiết bị quản lý khóa và sinh chữ ký số theo tiêu chuẩn ký số từ xa
- SAVIS eArchive – Giải pháp số hóa, lưu trữ điện tử tập trung trên nền tảng Big Data
Hệ thống giải pháp của SAVIS giúp giải quyết bài toán toàn diện bài toán số hóa quy trình, ký số, ký điện tử an toàn đến lưu trữ điện tử lâu dài trong tổ chức.
Tiêu chí | SAVIS – TrustCA Qualified Remote Signing & Timestamp | Nhà cung cấp dịch vụ chữ ký số công cộng khác |
Đảm bảo tính an toàn, tin cậy, chống chối bỏ chữ ký số trong giao dịch điện tử | – Áp dụng chữ ký số nâng cao (AdES) đính kèm dấu thời gian điện tử chống chối bỏ, tạo bằng chứng tin cậy về mốc thời gian hình thành giao dịch/tài liệu điện tử. Hỗ trợ công nghệ xác thực lâu dài Longterm Validation (LTV) cho phép xác thực hiệu lực của chữ ký số sau 10 năm, 20 năm đến vĩnh viễn mà không phụ thuộc vào vòng đời chứng thư số hay nhà cung cấp dịch vụ | – Áp dụng chữ ký số cơ bản (Basic Signature) không có dấu thời gian, không có bằng chứng tin cậy về ngày giờ hình thành tài liệu/giao dịch điện tử. Thời điểm ký có thể bị chỉnh sửa, giả mạo, gây tranh cãi, chối bỏ hoặc kiện tụng về pháp lý mà không có bằng chứng bảo vệ |
– Chữ ký số tuân thủ đầy đủ thông số kỹ thuật tại Thông tư 06/2015/TT-BTTTT về độ dài khóa 2048-bit trở lên, thuật toán RSA với hàm băm SHA-245 | – Chữ ký số không tuân thủ thông số kỹ thuật được quy định tại Thông tư 06/2015/TT-BTTTT: độ dài khóa không đảm bảo 2048bit, thuật toán băm SHA-1 đã bị bẻ khóa gây rủi ro giả mạo chữ ký số mà không thể phát hiện được. Chữ ký số không còn an toàn để thực hiện giao dịch trên môi trường điện tử. | |
Hạ tầng ký số cấp dấu thời gian Timestamp – TSA | TrustCA Qualified Timestamp hiện nay là hạ tầng cung cấp dịch vụ ký số đóng dấu thời gian duy nhất cung cấp dịch vụ cho nhiều tổ chức có nhu cầu xác thực và lưu trữ tài liệu điện tử dài hạn 7-10 năm, 10-20 năm như Y tế, Tài chính, Ngân Hàng | Chưa đơn vị nào xây dựng và cung cấp dịch vụ, kết nối nguồn thời gian quốc gia của Bộ KHCN |
Đảm bảo xác thực tài liệu trong 10 năm, 20 năm đến vĩnh viễn tùy theo quy định chuyên ngành hoặc mục đích lưu trữ tài liệu điện tử được ký | – Áp dụng chữ ký số nâng cao (AdES) và chữ ký số đảm bảo (QES) kèm dấu thời gian điện tử và công nghệ xác thực lâu dài LTV, tạo bằng chứng tin cậy, xác thực được về hiệu lực của chữ ký số vào thời điểm ký. Hiệu lực của chữ ký số không phụ thuộc vào hiệu lực của chứng thư số của cá nhân hoặc pháp nhân, có thể xác thực được một cách độc lập trong 10 năm, 20 năm, đến vĩnh viễn. Do đó, người dùng được hưởng lợi ích và đảm bảo an toàn cao nhất: không phụ thuộc vào nhà cung cấp dịch vụ, không phải duy trì chứng thư số, không phải ký lại tài liệu điện tử | – Áp dụng chữ ký số cơ bản (Basic Signature) phụ thuộc vào vòng đời của chứng thư số. Khi chứng thư số hết hạn, tài liệu đã ký sẽ không thể xác thực (trên 3 năm với chứng thư số được cấp bởi CA công cộng tại Việt Nam). |
Đảm bảo quy trình cấp chứng thư số an toàn, đúng pháp luật, không thể chối bỏ chứng thư số | – Áp dụng đầy đủ quy định tại Nghị định 130/2018/ND-CP về quy trình cấp chứng thư số với xác nhận trên đơn xin cấp chứng thư số của người dùng. Xóa bỏ rủi ro chối bỏ chữ ký hoặc thanh tra, kiện tụng từ các bên tham gia giao dịch điện tử | – Áp dụng chứng thư số hiệu lực 24h cấp online không có đơn ký tay, khiến các bên chịu rủi ro chứng thư số bị chối bỏ/thu hồi bất hợp pháp. Sau khi ký 24h chứng thư số hết hiệu lực, do đó chữ ký số cũng không thể xác thực được và tài liệu được ký coi như vô giá trị! |
Hệ thống ký số từ xa Remote Signing được đánh giá độc lập bởi các cơ quan chuyên môn đối với tiêu chuẩn của Châu Âu (eIDAS) theo Thông tư 16/2019/TT-BTTTT | – Áp dụng toàn bộ tiêu chuẩn chính sách an ninh vận hành, khai thác, quản lý hệ thống ký số tin cậy kèm chứng chỉ, chứng nhận kỹ thuật cho các thành phần hệ thống. SAVIS đã được cơ quan kiểm định tuân thủ (Conformity Assessment Body) của Châu Âu là Tayllorcox cấp chứng chỉ đạt tiêu chuẩn cung cấp dịch vụ Qualified Remote Signing. Giấy phép dịch vụ sẽ được cấp trong tháng tới. | – Nhiều đơn vị chưa có chứng nhận QTSP và cấp giấy phép cung cấp dịch vụ chữ ký số từ xa của BTTTT theo quy định của Thông tư 16/2019/TT-BTTTT |
Liên hệ ngay với chúng tôi để được tư vấn TẠI ĐÂY!
Đồng hành cùng SAVIS trong các giải pháp Ký số toàn diện
FBpage: https://www.facebook.com/SavisTechnologyGroup
Hotline: 1900 636 156
Zalo: 076 201 6898/035 690 6662
Email: dichvuso@savis.vn
#Savis#kysotuxa#remotesigning#kysonangcao#ades#kysoxacthuc#chungthucdientu#luutrudientu