QCVN 137:2025/BKHCN về dịch vụ chứng thực chữ ký số công cộng

Trong kỷ nguyên số hóa mạnh mẽ, chữ ký số đã trở thành phương tiện bắt buộc trong nhiều giao dịch điện tử, từ kê khai thuế, khai hải quan đến ký kết hợp đồng trực tuyến và truy cập dịch vụ công. Tuy nhiên, để đảm bảo an toàn, tính pháp lý và độ tin cậy của chữ ký số, dịch vụ chứng thực chữ ký số công cộng cần tuân thủ các yêu cầu kỹ thuật và quy trình vận hành nghiêm ngặt. Chính vì thế, Quy chuẩn kỹ thuật quốc gia QCVN 137:2025/BKHCN quy định về yêu cầu dịch vụ chứng thực chữ ký số công cộng đã được Bộ Khoa học và Công nghệ ban hành, nhằm thống nhất tiêu chuẩn kỹ thuật và quản lý dịch vụ này trên phạm vi cả nước.

Chữ ký số công cộng là công cụ mã hóa cho phép người dùng ký xác thực văn bản điện tử, đảm bảo tính toàn vẹn, xác thực và không thể chối từ nội dung khi trao đổi trực tuyến. Các chứng thư số được cấp bởi dịch vụ CA có uy tín được xem như bảo chứng xác thực danh tính người ký trong mọi giao dịch số, bởi chúng được bảo đảm tính an toàn theo tiêu chuẩn chuyên môn cao. Với sự phát triển của kinh tế số, dịch vụ chứng thực chữ ký số không chỉ hỗ trợ hoạt động nội bộ doanh nghiệp, mà còn là yếu tố then chốt trong triển khai các dịch vụ chính phủ điện tử, ngân hàng số hay thương mại điện tử.

Quy chuẩn QCVN 137:2025/BKHCN quy định cụ thể các yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng. Ảnh minh họa

Tuy nhiên, nếu dịch vụ chứng thực này không có tiêu chuẩn thống nhất, hệ thống chữ ký số có thể bị lợi dụng, dẫn đến rủi ro mất dữ liệu, giả mạo danh tính hoặc tấn công mạng. Vì vậy, QCVN 137:2025/BKHCN ra đời nhằm đảm bảo mọi tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải tuân thủ yêu cầu kỹ thuật chuẩn mực và an toàn quốc tế.

Quy chuẩn QCVN 137:2025/BKHCN quy định cụ thể các yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng. Theo đó, tiêu chuẩn này được áp dụng cho tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng trong nước và các dịch vụ chứng thực điện tử nước ngoài đăng ký tại Việt Nam. Các tổ chức này phải tuân thủ nhiều tiêu chí kỹ thuật và quản lý để đảm bảo dịch vụ an toàn, bảo mật và tương thích với tiêu chuẩn quốc tế.

Một trong những nội dung quan trọng của quy chuẩn là yêu cầu kỹ thuật đối với mật mã và chữ ký số. Dịch vụ CA phải sử dụng các thuật toán mã hóa và chế độ chữ ký số đạt chuẩn quốc tế như RSA, ECDSA với độ dài khóa phù hợp để đảm bảo tính an toàn trước mọi nguy cơ tấn công. Điều này góp phần bảo vệ dữ liệu khỏi truy cập trái phép và giữ vững tính pháp lý của chứng thư số trong các giao dịch điện tử.

Quy chuẩn cũng quy định các yêu cầu đối với thông tin, dữ liệu khi vận hành dịch vụ chứng thực, bao gồm định dạng chứng thư chữ ký số và danh sách chứng thư bị thu hồi phải tuân theo chuẩn X.509 và các giao thức liên quan khác như OCSP, giúp dễ dàng tương tác với nhiều hệ thống trong và ngoài nước.

Không chỉ dừng ở đó, QCVN 137:2025/BKHCN còn đặt ra các quy định đối với thiết bị mật mã và lưu khóa như HSM (Hardware Security Module) – thiết bị phần cứng dùng để lưu trữ khóa bí mật của người dùng nhằm tránh rủi ro bị xâm nhập. Những thiết bị này phải đáp ứng các tiêu chuẩn an toàn theo FIPS 140-2 hoặc tương đương để đảm bảo tính tin cậy.

Một điểm nhấn quan trọng khác của QCVN 137:2025/BKHCN là phân biệt rõ các mô hình ký số công cộng, bao gồm ký sử dụng thiết bị phần cứng, ký số từ xa và ký số trên thiết bị di động, mỗi mô hình phải tuân thủ các yêu cầu và tiêu chuẩn ứng với từng môi trường hoạt động. Điều này giúp dịch vụ chứng thực tùy biến theo nhu cầu sử dụng hiện đại, từ máy tính cá nhân đến thiết bị di động như smartphone hay tablet.

Quy chuẩn này không chỉ đặt ra yêu cầu kỹ thuật mà còn quy định rõ quản lý và kiểm tra đánh giá sự phù hợp đối với tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng. Theo đó, doanh nghiệp phải công bố hợp quy, tuân thủ quy trình kiểm toán kỹ thuật và chịu sự giám sát của cơ quan chức năng. Việc đánh giá được thực hiện theo phương thức đánh giá hệ thống quản lý (phương thức 6) để minh bạch và khách quan.

Ngoài ra, tiêu chuẩn cũng quy định trách nhiệm của tổ chức cung cấp dịch vụ, từ việc tuân thủ đúng tiêu chuẩn, lưu trữ hồ sơ, đến phối hợp với tổ chức kiểm định kỹ thuật. Trung tâm Chứng thực điện tử Quốc gia có trách nhiệm hướng dẫn triển khai và cập nhật quy chuẩn này theo diễn biến pháp luật, chính sách và tiêu chuẩn quốc tế.

Việc ban hành QCVN 137:2025/BKHCN là bước tiến quan trọng trong xây dựng hạ tầng pháp lý và kỹ thuật cho nền kinh tế số tại Việt Nam, góp phần nâng cao mức độ tin cậy của các giao dịch điện tử, từ thương mại điện tử, dịch vụ công đến quan hệ lao động, tài chính và ngân hàng. Khi dịch vụ chứng thực chữ ký số được tiêu chuẩn hóa và đánh giá nghiêm túc, niềm tin của người dùng vào các dịch vụ trực tuyến cũng tăng lên, giảm thiểu rủi ro gian lận, mất mát dữ liệu hoặc tấn công mạng.

Trong bối cảnh Việt Nam đang đẩy mạnh chuyển đổi số quốc gia, quy chuẩn này giúp tạo ra một hệ sinh thái chữ ký số an toàn, minh bạch và tương thích với nhiều tiêu chuẩn quốc tế, từ đó thúc đẩy việc ứng dụng rộng rãi chữ ký số trong mọi lĩnh vực. Những thay đổi này đặc biệt có ý nghĩa với doanh nghiệp, vì họ có thể ký kết và lưu trữ hợp đồng điện tử với độ tin cậy cao, góp phần giảm chi phí giấy tờ, rút ngắn thời gian giao dịch và mở rộng thị trường số.

QCVN 137:2025/BKHCN cũng tạo tiền đề quan trọng để các nước và doanh nghiệp nước ngoài tiếp cận hệ thống chữ ký số Việt Nam, giúp gia tăng cơ hội hợp tác quốc tế trong lĩnh vực công nghệ thông tin và dịch vụ số. 

Quy chuẩn quốc gia QCVN 137:2025/BKHCN về yêu cầu dịch vụ chứng thực chữ ký số công cộng là công cụ pháp lý-kỹ thuật quan trọng giúp thống nhất tiêu chuẩn chất lượng dịch vụ này tại Việt Nam. Từ việc đặt yêu cầu kỹ thuật rõ ràng đến quy định kiểm soát, quản lý và đánh giá sự phù hợp, tiêu chuẩn mới sẽ là nền tảng để xây dựng hệ thống chữ ký số an toàn, đáng tin cậy và phù hợp với xu thế toàn cầu, góp phần thúc đẩy thương mại điện tử, dịch vụ công trực tuyến và niềm tin trong giao dịch số.

An Dương