Những quy định pháp lý trong giao dịch điện tử của Việt Nam
Những biến động từ đại dịch đã khiến nhu cầu chuyển đổi các giao dịch trong hoạt động kinh doanh của doanh nghiệp sang dạng thức điện tử. Đi cùng với đó là rất nhiều những quy định pháp lý trong giao dịch điện tử nhằm đảm bảo tính tin cậy, toàn vẹn và chống chối bỏ của tài liệu, thông điệp điện tử sinh ra khi giao dịch điện tử. 1. Hệ thống pháp luật về giao dịch điện tử Hiện tại, hành lang pháp lý tại Việt Nam về giao dịch điện tử, số hóa quy trình paperless trong tổ chức, ký điện tử, ký số và lưu trữ điện tử đã có với cao nhất là Luật giao dịch điện tử 2005, Nghị định 130/2018/NĐ-CP quy định thi hành luật Giao dịch điện tử về chữ ký số và chứng thực chữ ký số. Cùng với đó là các quy định từ Bộ Thông tin và Truyền thông: Thông tư 06/2015/TT-BTTTT, Thông tư 16/2019/TT-BTTTT, Thông tư 22/2020/TT-BTTTT về các tiêu chuẩn về ký số, phần mềm ký số và phần mềm ứng dụng chữ ký số và những luật chuyên ngành như Nghị định 165/2018/NĐ-CP, Nghị định 35/2007/NĐ-CP cho Tài chính – Ngân hàng, Nghị định 52/2013/NĐ-CP về thương mại điện tử, Thông tư 02/2019/TT-BNV, Nghị định 30/2020/NĐ-CP về lưu trữ điện tử. Tuy nhiên để triển khai, áp dụng đầy đủ còn nhiều vướng mắc. Bài toán khó đối với các tổ chức là cân bằng giữa trải nghiệm người dùng, đơn giản, dễ dùng với tính tin cậy, tuân thủ pháp lý và hiệu quả về chi phí. Về tính tin cậy, các giao dịch điện tử phải đảm bảo liên kết danh tính, định danh người ký, đảm bảo tính toàn vẹn dữ liệu cả quá trình khởi tạo, truyền gửi, lưu trữ dữ liệu, lưu trữ bằng chứng, chứng cứ điện tử trong tranh tụng, tranh chấp pháp lý. Đặc biệt là vấn đề xác thực tài liệu điện tử không phụ thuộc vào công nghệ, thời gian lưu trữ, cũng như không phụ thuộc vào chứng thư số bị hết hạn hay bị thu hồi. Dù quy định đã có nhưng phần lớn các tổ chức đều chưa có đầy đủ hệ thống đảm bảo đáp ứng tính tin cậy và tuân thủ đầy đủ pháp luật. Thậm chí, những đơn vị cung cấp dịch vụ liên quan cũng chưa nhận thức thấu đáo. Việc áp dụng chữ ký số, chữ ký điện tử, con dấu điện tử lên tài liệu điện tử, thông điệp điện tử nhằm định danh người ký, thay thế dần chữ ký tay, con dấu đỏ đã trở nên thông dụng nhưng đảm bảo tính tin cậy, toàn vẹn, chống chối bỏ, bất kỳ thay đổi, sửa xóa nào trên tài liệu đều bị phát hiện, tuân thủ quy định pháp luật thì hầu hết các giải pháp ký số chưa đáp ứng được. Trong khi đây là yêu cầu bắt buộc và tối quan trọng khi giao dịch điện tử. 2. Rủi ro của tài liệu điện tử, thông điệp điện tử trong lưu trữ điện tử dài hạn Phần lớn chữ ký số, chữ ký điện tử hiện nay đang sử dụng nguồn thời gian là nguồn thời gian của máy tính, máy chủ ký số, máy chủ ứng dụng chữ ký số gây rủi ro về tính bằng chứng, chứng cứ của tài liệu, thông điệp điện tử. Thông điệp dữ liệu gắn kèm dấu thời gian timestamp theo quy định tại Điều 30, Nghị định 130/2018/NĐ-CP là điều kiện đảm bảo tính tin cậy, chống chối bỏ cao nhất trong giao dịch điện tử. Việc triển khai, áp dụng thiếu triệt để các quy định pháp luật của người dùng và các đơn vị cung cấp dịch vụ đã gây ra những bất lợi trong lưu trữ điện tử lâu dài khi tài liệu không thể xác thực trong dài hạn, không thể chứng minh được giá trị pháp lý khi chứng thư số hết hạn hoặc bị thu hồi. Chữ ký số cơ bản sẽ có vòng đời phụ thuộc vào thời hạn chứng thư số và chỉ đáp ứng giao dịch điện tử cơ bản, có thời hạn lưu trữ ngắn hạn. Trong trường hợp yêu cầu lưu trữ dài hạn, toàn vẹn dữ liệu, tra cứu xác thực lâu dài thì việc triển khai chữ ký số cơ bản sẽ ko đảm bảo các tiêu chuẩn kỹ thuật. Trong trường hợp áp dụng ký số đóng dấu thời gian timestamp từ nguồn thời gian tin cậy đáp ứng Thông tư 06/2015/TT-BTTTT, tài liệu điện tử sẽ có thể đưa vào lưu trữ dài hạn trong 5 năm, 10 năm, 20 năm hoặc vĩnh viễn, dễ dàng kiểm tra trạng thái chứng thư số tại thời điểm ký mà không phụ thuộc vào thời hạn chứng thư số. Tuy nhiên, hơn 90% các tổ chức, doanh nghiệp vẫn chưa áp dụng dấu thời gian timestamp trong ký số tài liệu. Rất ít nhà cung cấp dịch vụ tin cậy tại Việt Nam có hiểu biết và triển khai các dịch vụ đáp ứng các tiêu chuẩn về chữ ký số lâu dài, áp dụng ký số đóng dấu thời gian timestamp, cung cấp thông tin về dấu thời gian, thông tin về thu hồi chứng thư số phục vụ lưu trữ, xác thực tài liệu điện tử. 3. Giải pháp hoàn chỉnh cho ký số lâu dài, lưu trữ điện tử dài hạn SAVIS là tổ chức đầu tiên và duy nhất có khả năng cung cấp đồng thời cả hai dịch vụ quan trọng nhất trong ký số đó là: Dịch vụ chứng thực điện tử cấp dấu thời gian TrustCA Timestamp và Dịch vụ ký số, con dấu điện tử đảm bảo từ mô hình ký số từ xa Remote Signing theo tiêu chuẩn EU eIDAS QTSP –
Tiêu chuẩn đảm bảo an toàn trong giao dịch và thanh toán điện tử ngành Ngân hàng (Phần 4)
IV. 3D Secure 2.0 – Cải thiện đáp ứng SCA trong PSD2 Với Chỉ thị Dịch vụ Thanh toán Điện tử sửa đổi PSD2, các giao dịch điện tử trong lãnh thổ Châu Âu phải Xác thực Định danh Tăng cường SCA cho giao dịch thanh toán điện tử giá trị trên 30EUR hoặc thanh toán không tiếp xúc (Contactless Payment) giá trị trên 50EUR. Để đạt được yêu cầu trên, SCA yêu cầu xác thực giao dịch dựa trên hai trong ba yếu tố: Điều khách hàng biết “Something you know” Điều khách hàng có “Something you own” Điều khách hàng sở hữu riêng “Something you are” · Mật khẩu · Mã pin · Câu hỏi bí mật · Dãy số · Điện thoại · Thẻ thông minh Smartcard · Token · Thiết bị thông minh · Vân tay · Mống mắt · Khuôn mặt · Giọng nói Trước đây, xác thực định danh tăng cường SCA được đáp ứng thông qua giải pháp 3D Secure 1.0 được phát triển bởi Công ty Arcot Systems. Thuật ngữ “3D” trong 3D Secure nhắc tới ba “lĩnh vực” (Domain) hợp tác với nhau trong thanh toán giao dịch thẻ, đó là: – Lĩnh vực thuộc Ngân hàng cung cấp tài khoản giao dịch cho người dùng (user) – Lĩnh vực thuộc Ngân hàng cung cấp tài khoản cho thương nhân (merchant) – Lĩnh vực thuộc Nhà phát hành thẻ (card issuer: Visa, American Express, Mastercard…) Được biết đến với tên gọi “Verified by Visa”, “Mastercard SecureCode” hoặc “American Express Safekey”, 3D Secure 1.0 thực hiện xác thực giao dịch bằng cách chuyển hướng người dùng đến trang bảo mật yêu cầu cung cấp thông tin bổ sung dưới dạng Mật khẩu hoặc Câu hỏi bí mật. Khi người dùng xác minh thành công, giao dịch mới được chấp nhận bởi ngân hàng. “Thông qua 3D Secure 1.0, nhà phát hành thẻ xác thực mật khẩu- “Điều khách hàng biết” và kết hợp với dữ liệu thẻ – “Điều khách hàng có”, đáp ứng yêu cầu hai trong ba yếu tố cấu thành SCA.” Tuy nhiên, 3D Secure 1.0 có những hạn chế nhất định, đặc biệt đối với trải nghiệm người dùng: mật khẩu/câu hỏi bí mật dễ bị nhầm lẫn, chuyển hướng người dùng gây gián đoạn quá trình thanh toán, tăng thời gian cần thiết để nạp trang mới, và chỉ hỗ trợ trên trình duyệt (không thể nạp trong Mobile App). Mặc dù 3D Secure 1.0 tăng cường bảo mật, lớp xác thực bổ sung này cũng gia tăng sự bất tiện, chưa theo kịp công nghệ nền tảng Mobile App. Theo số liệu của nhà phát hành thẻ Visa, 70% người dùng sẽ hủy giao dịch nếu quy trình thanh toán quá mất thời gian. Trang bảo mật thường thấy trên 3D Secure 1.0, yêu cầu nhập mật khẩu từ người dùng Với nhiệm vụ kế thừa tính năng bảo mật của 3D Secure 1.0, phiên bản 3D Secure 2.0 thu thập hơn 100 đầu dữ liệu, bao gồm lịch sử thanh toán, địa chỉ IP, địa chỉ thanh toán, mã số thiết bị… để tính toán rủi ro trong xác thực của một giao dịch điện tử (Risk-based Authentication). Trong trường hợp nhà phát hành thẻ cho rằng dữ liệu đủ để xác minh giao dịch là an toàn, người dùng sẽ không gặp trở ngại và thanh toán được chấp nhận ngay lập tức. Ngược lại, nếu nhà phát hành thẻ nghi ngờ giao dịch, người dùng sẽ phải nhập Mật khẩu/Câu hỏi bí mật tương tự 3D Secure 1.0. Theo số liệu thống kê lịch sử giao dịch từ Mastercard, 90% các giao dịch khi chuyển sang 3D Secure 2.0 sẽ không bị gián đoạn (frictionless), đem lại tiện lợi cho đa số người dùng trong khi đảm bảo yêu cầu bảo mật xác thực SCA. Ngoài ra theo thời gian, tính chính xác của 3D Secure 2.0 sẽ ngày càng được cải thiện nhờ lượng dữ liệu thu thập tăng lên nhanh chóng. Sơ đồ quy trình 3D Secure 2.0 So với 3D Secure 1.0, phiên bản 2.0 của công nghệ xác thực giao dịch mang tới nhiều ưu điểm vượt trội về công nghệ và trải nghiệm người dùng: Tháng 4 năm 2019: hai nhà phát hành thẻ lớn nhất thế giới là Visa và Mastercard hối thúc các ngân hàng Châu Âu sẵn sàng cho PSD2 và 3D Secure 2.0. Từ thời điểm tháng 4 năm 2019, nếu một ngân hàng Châu Âu không thể đáp ứng 3D Secure 2.0, ngân hàng đó sẽ phải chịu toàn bộ trách nhiệm rủi ro phát sinh trong giao dịch thay vì doanh nghiệp. Ngày 14 tháng 9 năm 2019: yêu cầu xác thực tăng cường SCA trong PSD2 chính thức áp dụng tại Châu Âu. Bất cứ doanh nghiệp nào thực hiện thanh toán điện tử phải đáp ứng 3D Secure 2.0 để đạt tiêu chuẩn SCA. Từ năm 2020: áp dụng 3D Secure 2.0 trên toàn thế giới, các ngân hàng lớn sẽ áp dụng 3D Secure 2.0 và dần loại bỏ 3D Secure 1.0
