|
CHÍNH PHỦ |
CỘNG
HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: 23/2025/NĐ-CP |
Hà Nội, ngày 21 tháng 02 năm 2025 |
QUY ĐỊNH VỀ CHỮ KÝ ĐIỆN TỬ VÀ DỊCH VỤ TIN CẬY
Căn cứ Luật Tổ chức Chính phủ ngày 19 tháng 6 năm 2015; Luật sửa đổi, bổ sung một số điều của Luật Tổ chức Chính phủ và Luật Tổ chức chính quyền địa phương ngày 22 tháng 11 năm 2019;
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Luật Phí và lệ phí ngày 25 tháng 11 năm 2015;
Theo đề nghị của Bộ trưởng Bộ Thông tin và Truyền thông;
Chính phủ ban hành Nghị định quy định về chữ ký điện tử và dịch vụ tin cậy.
Nghị định này quy định về chữ ký điện tử và dịch vụ tin cậy, trừ chữ ký số chuyên dùng công vụ và dịch vụ chứng thực chữ ký số chuyên dùng công vụ.
Nghị định này áp dụng đối với cơ quan, tổ chức, cá nhân tham gia trực tiếp hoặc có liên quan đến chữ ký điện tử và dịch vụ tin cậy.
Trong Nghị định này, các từ ngữ dưới đây được hiểu như sau:
1. “Khóa” là một chuỗi các số nhị phân (0 và 1) dùng trong các hệ thống mật mã.
2. “Ký số” là việc đưa khóa bí mật vào một chương trình phần mềm để tự động tạo và gắn chữ ký số vào thông điệp dữ liệu.
3. “Chứng thư chữ ký số có hiệu lực” là chứng thư chữ ký số chưa hết hạn, không bị tạm dừng hoặc bị thu hồi.
4. “Mã bảo đảm toàn vẹn thông điệp dữ liệu” là một dãy ký tự được sử dụng để kiểm tra được tính toàn vẹn của thông điệp dữ liệu.
5. “Thuê bao” là cơ quan, tổ chức, cá nhân giao kết hợp đồng cung cấp và sử dụng dịch vụ tin cậy với tổ chức cung cấp dịch vụ tin cậy.
6. “Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia” là Trung tâm Chứng thực điện tử quốc gia trực thuộc Bộ Thông tin và Truyền thông.
7. “Quy chế chứng thực” là văn bản về chính sách và quy trình, thủ tục cấp, quản lý chứng thư chữ ký điện tử hoặc chứng thư chữ ký số, sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn hoặc dịch vụ tin cậy của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, tổ chức cung cấp dịch vụ tin cậy, tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn.
8. “Phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số” là khoản tiền để duy trì hệ thống thông tin phục vụ việc kiểm tra trạng thái chứng thư chữ ký số đối với dịch vụ chứng thực chữ ký số công cộng, dịch vụ cấp dấu thời gian, dịch vụ chứng thực thông điệp dữ liệu.
9. “Phương tiện lưu khóa bí mật” là phương tiện chứa khóa bí mật của thuê bao.
Mục 1. CHỨNG THƯ CHỮ KÝ ĐIỆN TỬ
Điều 4. Chứng thư chữ ký điện tử
Chứng thư chữ ký điện tử được phân loại như sau:
1. Chứng thư chữ ký số gốc của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia là chứng thư chữ ký số do tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia tự cấp cho mình tương ứng với từng loại dịch vụ tin cậy.
2. Chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy là chứng thư chữ ký số do tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia cấp cho tổ chức cung cấp dịch vụ tin cậy tương ứng với từng loại dịch vụ tin cậy, bao gồm: chứng thư chữ ký số cho dịch vụ cấp dấu thời gian, chứng thư chữ ký số cho dịch vụ chứng thực thông điệp dữ liệu, chứng thư chữ ký số cho dịch vụ chứng thực chữ ký số công cộng.
3. Chứng thư chữ ký số công cộng là chứng thư chữ ký số do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp cho thuê bao.
4. Chứng thư chữ ký điện tử chuyên dùng là chứng thư chữ ký điện tử do cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng cấp.
Điều 5. Nội dung của chứng thư chữ ký điện tử
Nội dung chứng thư chữ ký điện tử bao gồm:
1. Thông tin về cơ quan, tổ chức tạo lập chứng thư chữ ký điện tử.
2. Thông tin về cơ quan, tổ chức, cá nhân được cấp chứng thư chữ ký điện tử, bao gồm tên cơ quan, tổ chức, cá nhân; mã/số định danh của cơ quan, tổ chức, cá nhân hoặc danh tính điện tử của cơ quan, tổ chức, cá nhân được cấp chứng thư chữ ký điện tử và các thông tin cần thiết khác (nếu có).
3. Số hiệu của chứng thư chữ ký điện tử.
4. Thời hạn có hiệu lực của chứng thư chữ ký điện tử.
5. Dữ liệu để kiểm tra chữ ký điện tử của cơ quan, tổ chức, cá nhân được cấp chứng thư chữ ký điện tử.
6. Chữ ký điện tử của cơ quan, tổ chức tạo lập chứng thư chữ ký điện tử.
7. Mục đích, phạm vi sử dụng của chứng thư chữ ký điện tử.
8. Trách nhiệm pháp lý của cơ quan, tổ chức cấp chứng thư chữ ký điện tử.
Điều 6. Nội dung của chứng thư chữ ký số
1. Nội dung chứng thư chữ ký số gốc của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia bao gồm:
a) Tên của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;
b) Số hiệu chứng thư chữ ký số;
c) Thời hạn có hiệu lực của chứng thư chữ ký số;
d) Khóa công khai của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;
đ) Chữ ký số của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;
e) Mục đích, phạm vi sử dụng của chứng thư chữ ký số;
g) Trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;
h) Thuật toán khóa không đối xứng.
2. Nội dung chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy tương ứng với từng loại dịch vụ bao gồm:
a) Tên của tổ chức cấp chứng thư chữ ký số;
b) Tên của tổ chức cung cấp dịch vụ tin cậy;
c) Số hiệu chứng thư chữ ký số;
d) Thời hạn có hiệu lực của chứng thư chữ ký số;
đ) Khóa công khai của tổ chức cung cấp dịch vụ tin cậy;
e) Chữ ký số của tổ chức cấp chứng thư chữ ký số;
g) Mục đích, phạm vi sử dụng của chứng thư chữ ký số;
h) Trách nhiệm pháp lý của tổ chức cung cấp dịch vụ tin cậy;
i) Thuật toán khóa không đối xứng.
3. Nội dung của chứng thư chữ ký số công cộng bao gồm:
a) Tên của tổ chức phát hành chứng thư chữ ký số;
b) Tên của thuê bao;
c) Số hiệu chứng thư chữ ký số;
d) Thời hạn có hiệu lực của chứng thư chữ ký số;
đ) Khóa công khai của thuê bao;
e) Chữ ký số của tổ chức phát hành chứng thư chữ ký số;
g) Mục đích, phạm vi sử dụng của chứng thư chữ ký số;
h) Trách nhiệm pháp lý của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng;
i) Thuật toán khóa không đối xứng.
Điều 7. Thời hạn có hiệu lực của chứng thư chữ ký điện tử, chứng thư chữ ký số
1. Thời hạn có hiệu lực của chứng thư chữ ký số gốc của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia là 25 năm.
2. Thời hạn có hiệu lực của chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy:
a) Chứng thư chữ ký số cho dịch vụ cấp dấu thời gian có hiệu lực tối đa là 05 năm;
b) Chứng thư chữ ký số cho dịch vụ chứng thực thông điệp dữ liệu có hiệu lực tối đa là 05 năm;
c) Chứng thư chữ ký số cho dịch vụ chứng thực chữ ký số công cộng có hiệu lực tối đa là 10 năm.
3. Thời hạn có hiệu lực của chứng thư chữ ký số công cộng tối đa là 03 năm.
4. Thời hạn có hiệu lực của chứng thư chữ ký điện tử chuyên dùng trong trường hợp chữ ký điện tử chuyên dùng được bảo đảm bởi chứng thư chữ ký điện tử chuyên dùng là 10 năm.
Điều 8. Định dạng chứng thư chữ ký điện tử, chứng thư chữ ký số
Khi cấp, phát hành chứng thư chữ ký điện tử, chứng thư chữ ký số, cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng, các tổ chức cung cấp dịch vụ tin cậy phải tuân thủ quy định về định dạng chứng thư chữ ký điện tử, định dạng chứng thư chữ ký số theo quy định của Bộ trưởng Bộ Thông tin và Truyền thông.
Mục 2. CHỮ KÝ ĐIỆN TỬ CHUYÊN DÙNG BẢO ĐẢM AN TOÀN
Điều 9. Chữ ký điện tử chuyên dùng bảo đảm an toàn
1. Chữ ký điện tử chuyên dùng bảo đảm an toàn phải đáp ứng đủ các yêu cầu theo quy định tại khoản 2 Điều 22 Luật Giao dịch điện tử.
Chữ ký điện tử chuyên dùng được bảo đảm bởi chứng thư chữ ký điện tử của cơ quan, tổ chức tạo lập được xem là đáp ứng đủ các yêu cầu tại khoản 2 Điều 22 Luật Giao dịch điện tử.
2. Chữ ký điện tử chuyên dùng bảo đảm an toàn do cơ quan, tổ chức tạo lập, sử dụng riêng cho hoạt động của cơ quan, tổ chức đó phù hợp với chức năng, nhiệm vụ, bao gồm:
a) Hoạt động nội bộ của cơ quan, tổ chức tạo lập;
b) Hoạt động chuyên ngành hoặc lĩnh vực, có cùng tính chất hoạt động hoặc mục đích công việc và được liên kết với nhau thông qua điều lệ hoạt động hoặc văn bản quy định về cơ cấu tổ chức, hình thức liên kết, hoạt động chung;
c) Hoạt động đại diện cho chính cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn để giao dịch với tổ chức, cá nhân khác.
3. Cơ quan, tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn chịu trách nhiệm trước pháp luật đối với việc sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn theo quy định tại khoản 2 Điều này.
Điều 10. Hồ sơ đề nghị cấp, cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
1. Hồ sơ cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn:
a) Đơn đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn theo Mẫu số 01 tại Phụ lục ban hành kèm theo Nghị định này;
b) Bản sao hợp lệ, bao gồm bản sao được cấp từ sổ gốc hoặc bản sao có chứng thực hoặc bản sao đối chiếu với bản chính của một trong các giấy tờ sau: giấy chứng nhận đăng ký doanh nghiệp, giấy chứng nhận đăng ký đầu tư đối với nhà đầu tư nước ngoài, quyết định thành lập hoặc văn bản quy định về cơ cấu, tổ chức hoặc giấy chứng nhận, giấy phép tương đương hợp lệ khác theo quy định của pháp luật về đầu tư và pháp luật về doanh nghiệp;
c) Điều lệ hoạt động, văn bản quy định về cơ cấu, tổ chức; về hình thức liên kết, hoạt động chung để chứng minh việc sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn theo khoản 2 Điều 9 của Nghị định này;
d) Văn bản chứng minh việc tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn đáp ứng đủ các yêu cầu tại khoản 1 Điều 9 của Nghị định này theo Mẫu số 03 tại Phụ lục ban hành kèm theo Nghị định này;
đ) Quy chế chứng thực theo quy định tại Điều 29 của Nghị định này.
2. Hồ sơ cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn:
a) Đơn đề nghị cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn do hết hạn theo Mẫu số 01 tại Phụ lục ban hành kèm theo Nghị định này;
b) Văn bản chứng minh việc tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn đáp ứng đủ các yêu cầu tại khoản 1 Điều 9 của Nghị định này theo Mẫu số 03 tại Phụ lục ban hành kèm theo Nghị định này;
c) Những thông tin thay đổi trong hồ sơ đề nghị cấp quy định tại các điểm b, c, đ khoản 1 Điều này;
d) Báo cáo tình hình thực hiện giấy chứng nhận kể từ ngày được cấp tới ngày đề nghị cấp lại theo Mẫu số 08 tại Phụ lục ban hành kèm theo Nghị định này.
1. Cơ quan, tổ chức chuẩn bị 01 bộ hồ sơ tương ứng với đề nghị cấp, cấp lại tại Điều 10 của Nghị định này.
2. Hồ sơ đề nghị được nộp trực tiếp tại Bộ Thông tin và Truyền thông hoặc gửi qua đường bưu chính hoặc qua hệ thống dịch vụ công trực tuyến (Cổng Dịch vụ công quốc gia, https://dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ Thông tin và Truyền thông, https://dichvucong.mic.gov.vn).
3. Việc kiểm tra tính hợp lệ của hồ sơ được thực hiện dựa trên các tiêu chí sau:
a) Hồ sơ được lập theo đúng quy định tại khoản 1 Điều này;
b) Hồ sơ phải được làm bằng tiếng Việt. Hồ sơ phải có đủ dấu xác nhận của cơ quan, tổ chức, dấu chứng thực bản sao; các tài liệu bản in do cơ quan, tổ chức lập có từ 02 tờ văn bản trở lên thì phải đóng dấu giáp lai.
4. Trong thời hạn 07 ngày làm việc kể từ ngày nhận được hồ sơ cấp, cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, Bộ Thông tin và Truyền thông kiểm tra tính hợp lệ của hồ sơ theo quy định tại khoản 3 Điều này.
a) Trường hợp chưa hợp lệ, Bộ Thông tin và Truyền thông gửi thông báo và nêu rõ lý do;
b) Trường hợp hồ sơ hợp lệ, Bộ Thông tin và Truyền thông đề nghị phối hợp thẩm tra hồ sơ với Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan. Trong thời hạn 15 ngày kể từ ngày nhận được đề nghị phối hợp thẩm tra hồ sơ, Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan có trách nhiệm trả lời bằng văn bản;
c) Trong thời hạn 20 ngày kể từ ngày nhận được đầy đủ ý kiến phối hợp thẩm tra quy định tại điểm b khoản này, Bộ Thông tin và Truyền thông thẩm tra, đánh giá thực tế hệ thống thông tin tạo lập và cấp, cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn cho cơ quan, tổ chức. Mẫu chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn quy định theo Mẫu số 02 tại Phụ lục ban hành kèm theo Nghị định này. Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do. Chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn của cơ quan, tổ chức có thời hạn tối đa là 10 năm.
5. Trường hợp cơ quan, tổ chức lựa chọn thực hiện thủ tục cấp, cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn trên môi trường điện tử, việc tiếp nhận và xử lý hồ sơ thực hiện theo quy định của Chính phủ về thực hiện thủ tục hành chính trên môi trường điện tử, cung cấp dịch vụ công trực tuyến của cơ quan nhà nước trên môi trường mạng và pháp luật về giao dịch điện tử, trừ trường hợp đánh giá thực tế quy định tại điểm c khoản 4 Điều này.
6. Trường hợp chữ ký điện tử chuyên dùng bảo đảm an toàn không đáp ứng một trong các yêu cầu quy định tại khoản 2 Điều 22 Luật Giao dịch điện tử, Bộ Thông tin và Truyền thông thu hồi chứng nhận chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn và công bố trên trang thông tin điện tử (https://rootca.gov.vn/) về việc chữ ký điện tử chuyên dùng không bảo đảm an toàn.
Chữ ký số công cộng là chữ ký số được sử dụng trong hoạt động công cộng, được bảo đảm bởi chứng thư chữ ký số công cộng và đáp ứng đủ các yêu cầu quy định tại khoản 3 Điều 22 Luật Giao dịch điện tử.
Điều 13. Chứng thư chữ ký số của cơ quan, tổ chức và người có thẩm quyền của cơ quan, tổ chức
1. Tất cả các cơ quan, tổ chức, người có thẩm quyền của cơ quan, tổ chức theo quy định của pháp luật được thành lập và hoạt động hợp pháp đều có quyền được cấp, phát hành chứng thư chữ ký số.
2. Chứng thư chữ ký số cấp cho người có thẩm quyền của cơ quan, tổ chức phải nêu rõ chức danh và tên cơ quan, tổ chức của người đó.
1. Chữ ký số của cơ quan, tổ chức và người có thẩm quyền của cơ quan, tổ chức được cấp, phát hành chứng thư chữ ký số theo quy định tại Điều 13 của Nghị định này chỉ được sử dụng để thực hiện các giao dịch và các hoạt động theo đúng thẩm quyền của cơ quan, tổ chức và chức danh được cấp, phát hành chứng thư chữ ký số.
2. Việc ký thay, ký thừa lệnh theo quy định của pháp luật thực hiện bởi người được giao, ủy quyền sử dụng chữ ký số của mình, được hiểu căn cứ vào chức danh của người ký số ghi trên chứng thư chữ ký số.
Điều 15. Nghĩa vụ của người ký trước khi thực hiện ký số
1. Trước khi ký số, người ký phải thực hiện quy trình kiểm tra trạng thái chứng thư chữ ký số như sau:
a) Kiểm tra trạng thái chứng thư chữ ký số của mình trên hệ thống thông tin của cơ quan, tổ chức tạo lập cấp, phát hành chứng thư chữ ký số đó;
b) Kiểm tra trạng thái chứng thư chữ ký số của tổ chức tạo lập, phát hành chứng thư chữ ký số cho mình trên hệ thống chứng thực dịch vụ tin cậy của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;
c) Trường hợp kết quả kiểm tra tại các điểm a và điểm b khoản này đồng thời có hiệu lực, người ký thực hiện ký số. Trường hợp kết quả kiểm tra tại điểm a hoặc điểm b khoản này là không có hiệu lực, người ký số không thực hiện ký số.
2. Sử dụng phần mềm ký số đáp ứng yêu cầu tại Điều 17 của Nghị định này.
Điều 16. Nghĩa vụ của người nhận khi nhận thông điệp dữ liệu được ký số
1. Trước khi chấp nhận chữ ký số của người ký số, người nhận phải kiểm tra các thông tin sau:
a) Trạng thái chứng thư chữ ký số, phạm vi sử dụng, giới hạn trách nhiệm và các thông tin trên chứng thư chữ ký số của người ký phải bảo đảm được định danh theo quy định pháp luật về định danh và xác thực điện tử;
b) Chữ ký số phải được tạo bởi khóa bí mật tương ứng với khóa công khai trên chứng thư chữ ký số của người ký;
c) Đối với chữ ký số được tạo ra bởi chứng thư chữ ký số nước ngoài được công nhận tại Việt Nam, người nhận phải kiểm tra hiệu lực chứng thư chữ ký số trên cả hệ thống chứng thực dịch vụ tin cậy của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia và hệ thống cung cấp dịch vụ chứng thực chữ ký điện tử của tổ chức nước ngoài.
2. Người nhận phải thực hiện quy trình kiểm tra trạng thái chứng thư chữ ký số như sau:
a) Kiểm tra trạng thái chứng thư chữ ký số tại thời điểm thực hiện ký số, phạm vi sử dụng, giới hạn trách nhiệm và các thông tin trên chứng thư chữ ký số đó theo quy định tại Điều 6 của Nghị định này trên hệ thống thông tin của cơ quan, tổ chức tạo lập cấp, phát hành chứng thư chữ ký số đó;
b) Trong trường hợp người ký số sử dụng chứng thư chữ ký số công cộng do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp: kiểm tra trạng thái chứng thư chữ ký số công cộng của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đã phát hành chứng thư chữ ký số công cộng đó tại thời điểm thực hiện ký số trên hệ thống chứng thực dịch vụ tin cậy của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia;
c) Chữ ký số trên thông điệp dữ liệu chỉ có hiệu lực khi kết quả kiểm tra tại các điểm a và điểm b khoản này đồng thời có hiệu lực.
3. Người nhận chịu trách nhiệm về việc chấp nhận chứng thư chữ ký số trong các trường hợp sau:
a) Không tuân thủ các quy định tại khoản 1 và khoản 2 Điều này;
b) Đã biết hoặc được thông báo về tình trạng tạm dừng, thu hồi, hết hạn chứng thư chữ ký số của thuê bao.
4. Sử dụng phần mềm kiểm tra chữ ký số đáp ứng yêu cầu tại Điều 17 của Nghị định này.
Điều 17. Yêu cầu đối với phần mềm ký số, phần mềm kiểm tra chữ ký số
1. Phần mềm ký số, phần mềm kiểm tra chữ ký số phải tuân thủ các tiêu chuẩn kỹ thuật về chữ ký số trên thông điệp dữ liệu; không sử dụng rào cản kỹ thuật, công nghệ để hạn chế việc kiểm tra hiệu lực chữ ký số.
2. Đối với phần mềm ký số phải có chức năng sau:
a) Chức năng xác thực chủ thể ký và ký số;
b) Chức năng kiểm tra hiệu lực của chứng thư chữ ký số trong đó thông tin trong chứng thư chữ ký số đã bảo đảm được định danh theo quy định pháp luật về định danh và xác thực điện tử; chức năng kết nối với Cổng kết nối dịch vụ chứng thực chữ ký số công cộng;
c) Chức năng lưu trữ và hủy bỏ các thông tin kèm theo thông điệp dữ liệu ký số;
d) Chức năng thay đổi (thêm, bớt) chứng thư chữ ký số của cơ quan, tổ chức tạo lập cấp, phát hành chứng thư chữ ký số;
đ) Chức năng thông báo (bằng chữ/bằng ký hiệu) cho người ký số biết việc ký số vào thông điệp dữ liệu thành công hay không thành công.
3. Đối với phần mềm kiểm tra chữ ký số phải có chức năng sau:
a) Chức năng kiểm tra tính hợp lệ của chữ ký số trên thông điệp dữ liệu;
b) Chức năng lưu trữ và hủy bỏ các thông tin kèm theo thông điệp dữ liệu ký số;
c) Chức năng thay đổi (thêm, bớt) chứng thư chữ ký số của cơ quan, tổ chức tạo lập cấp, phát hành chứng thư chữ ký số;
d) Chức năng thông báo (bằng chữ/bằng ký hiệu) việc kiểm tra tính hợp lệ của chữ ký số là hợp lệ hay không hợp lệ.
4. Bộ trưởng Bộ Thông tin và Truyền thông quy định yêu cầu kỹ thuật đối với chức năng phần mềm ký số, phần mềm kiểm tra chữ ký số.
Mục 1. KINH DOANH DỊCH VỤ TIN CẬY
Doanh nghiệp được quyền đăng ký một hoặc các dịch vụ tin cậy. Khi đăng ký bất kỳ dịch vụ tin cậy, doanh nghiệp phải đáp ứng đủ các điều kiện quy định tại khoản 1 Điều 29 Luật Giao dịch điện tử. Trong đó, các điều kiện tại điểm b, c, d, đ khoản 1 Điều 29 Luật Giao dịch điện tử được quy định chi tiết như sau:
1. Về điều kiện tài chính để giải quyết rủi ro và các khoản đền bù có thể xảy ra trong quá trình cung cấp dịch vụ và thanh toán chi phí tiếp nhận, duy trì cơ sở dữ liệu thông tin liên quan đến hoạt động cung cấp dịch vụ, doanh nghiệp được lựa chọn thực hiện một trong các hình thức sau:
a) Ký quỹ tại một ngân hàng thương mại tại Việt Nam áp dụng cho một hoặc các dịch vụ tin cậy. Mức ký quỹ là 10 tỷ đồng Việt Nam cho mỗi 300 nghìn thuê bao và không thấp hơn 10 tỷ đồng Việt Nam, với điều kiện doanh nghiệp không được thu tiền trả trước quá 01 năm từ thuê bao;
b) Mua bảo hiểm trách nhiệm, thiệt hại đối với hoạt động cung cấp dịch vụ tin cậy để bảo đảm quyền lợi của thuê bao trong suốt thời gian cung cấp dịch vụ.
2. Điều kiện nhân lực quản lý và kỹ thuật:
a) Nhân lực về vận hành hệ thống gồm: quản trị, vận hành, an toàn, an ninh thông tin, kiểm soát quyền ra vào, giám sát và kiểm tra, quản lý vòng đời chứng thư chữ ký số, quản lý vòng đời khóa;
b) Nhân lực cung cấp dịch vụ gồm: kiểm toán kỹ thuật, bảo mật, cấp, tạm dừng, huỷ, cài đặt và bảo hành; xác minh danh tính thuê bao (đối với dịch vụ chứng thực chữ ký số công cộng và dịch vụ chứng thực thông điệp dữ liệu);
c) Nhân lực chịu trách nhiệm về an toàn, an ninh thông tin, bảo mật có trình độ từ đại học trở lên về an toàn thông tin và có kinh nghiệm tối thiểu 02 năm tương ứng với ngành được đào tạo;
d) Nhân lực chịu trách nhiệm về quản trị, vận hành, kiểm toán kỹ thuật, cấp, tạm dừng, huỷ, cài đặt và bảo hành, giám sát và kiểm tra, quản lý vòng đời khóa có trình độ từ đại học trở lên về công nghệ thông tin hoặc gần đào tạo về công nghệ thông tin và có kinh nghiệm tối thiểu 02 năm tương ứng với ngành được đào tạo.
3. Phương án kỹ thuật phục vụ hoạt động cung cấp dịch vụ áp dụng chung cho các loại dịch vụ tin cậy, phải thể hiện các nội dung sau:
a) Tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật, yêu cầu kỹ thuật về chữ ký số, chứng thư chữ ký số; dịch vụ tin cậy; an toàn thông tin mạng; an ninh mạng;
b) Lưu trữ đầy đủ, chính xác và cập nhật thông tin thuê bao; cập nhật danh sách các chứng thư chữ ký số có hiệu lực, bị tạm dừng, bị thu hồi; thuê bao có thể truy cập, sử dụng Internet truy nhập trực tuyến 24 giờ trong ngày và 07 ngày trong tuần;
c) Bảo đảm mỗi cặp khóa được tạo ra ngẫu nhiên và đúng một lần duy nhất; có tính năng bảo đảm khóa bí mật không bị phát hiện khi có khóa công khai tương ứng;
d) Cảnh báo, ngăn chặn và phát hiện truy nhập bất hợp pháp trên môi trường điện tử;
đ) Thành phần quản lý vòng đời chứng thư chữ ký số được thiết kế theo xu hướng giảm thiểu tối đa sự tiếp xúc trực tiếp với môi trường điện tử và độc lập với các hệ thống không phục vụ cho dịch vụ tin cậy;
e) Hệ thống thông tin phải bảo đảm an toàn thông tin mạng tối thiểu cấp độ 3 và bảo vệ dữ liệu cá nhân theo quy định của pháp luật về an toàn thông tin mạng và an ninh mạng;
g) Kiểm soát sự ra vào, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị;
h) Dự phòng bảo đảm duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra, các quy trình thực hiện sao lưu dữ liệu, sao lưu trực tuyến dữ liệu, khôi phục dữ liệu, có khả năng phục hồi dữ liệu chậm nhất là 08 giờ làm việc kể từ thời điểm hệ thống gặp sự cố; trung tâm dự phòng cách xa trung tâm dữ liệu chính tối thiểu 20 kilomet và sẵn sàng hoạt động khi hệ thống chính gặp sự cố;
i) Hệ thống thông tin cung cấp dịch vụ đặt tại Việt Nam;
k) Quy chế chứng thực theo quy định tại Điều 29 của Nghị định này.
4. Đối với dịch vụ chứng thực chữ ký số công cộng, phương án kỹ thuật phải đáp ứng quy định tại khoản 3 Điều này và bổ sung các nội dung sau:
a) Hệ thống phân phối khóa cho thuê bao phải bảo đảm sự toàn vẹn và bảo mật của cặp khóa. Trong trường hợp phân phối khóa thông qua môi trường mạng máy tính thì hệ thống phân phối khóa phải sử dụng các giao thức bảo mật bảo đảm không lộ thông tin trên đường truyền;
b) Giải pháp cung cấp thông tin (chứng thư chữ ký số, báo cáo định kỳ và đột xuất theo quy định) bằng phương tiện điện tử cho tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước.
5. Đối với dịch vụ dấu thời gian và dịch vụ chứng thực thông điệp dữ liệu, phương án kỹ thuật phải đáp ứng quy định tại khoản 3 Điều này và bổ sung các nội dung sau:
a) Nguồn thời gian theo quy định của pháp luật về nguồn thời gian chuẩn quốc gia;
b) Giải pháp cung cấp thông tin (mã bảo đảm toàn vẹn thông điệp dữ liệu, sự kiện giao dịch (event log), báo cáo định kỳ và đột xuất theo quy định) bằng phương tiện điện tử cho tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước.
Điều 19. Hồ sơ đề nghị cấp, cấp lại, thay đổi nội dung, gia hạn giấy phép kinh doanh dịch vụ tin cậy
1. Hồ sơ đề nghị cấp giấy phép kinh doanh dịch vụ tin cậy:
a) Đơn đề nghị cấp giấy phép kinh doanh dịch vụ tin cậy theo Mẫu số 04 tại Phụ lục ban hành kèm theo Nghị định này, trong đó nêu rõ loại hình dịch vụ tin cậy sẽ kinh doanh;
b) Bản sao hợp lệ bao gồm bản sao được cấp từ sổ gốc hoặc bản sao có chứng thực hoặc bản sao đối chiếu với bản chính của một trong các giấy tờ sau: giấy chứng nhận đăng ký doanh nghiệp, giấy chứng nhận đăng ký đầu tư đối với nhà đầu tư nước ngoài, quyết định thành lập hoặc giấy chứng nhận, giấy phép tương đương hợp lệ khác theo quy định của pháp luật về đầu tư và pháp luật về doanh nghiệp;
c) Văn bản chứng minh đáp ứng được các điều kiện về tài chính quy định khoản 1 Điều 18 của Nghị định này;
d) Hồ sơ nhân lực quản lý và kỹ thuật gồm: lý lịch tư pháp, bản sao có chứng thực bằng đại học trở lên của đội ngũ nhân lực quản lý và kỹ thuật theo quy định tại khoản 2 Điều 18 của Nghị định này, bản mô tả về công việc và kinh nghiệm đã có tương ứng với vị trí nhân lực quản lý và kỹ thuật, hợp đồng lao động và quyết định phân công;
đ) Phương án kỹ thuật phục vụ hoạt động cung cấp dịch vụ phù hợp với từng loại dịch vụ tin cậy nhằm bảo đảm quy định tại các khoản 3, 4 và 5 Điều 18 của Nghị định này;
e) Quy chế chứng thực theo quy định tại Điều 29 của Nghị định này.
2. Hồ sơ đề nghị cấp lại giấy phép kinh doanh dịch vụ tin cậy;
a) Đơn đề nghị cấp lại giấy phép do giấy phép cũ hết hạn theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này;
b) Văn bản chứng minh đáp ứng được các điều kiện về tài chính quy định tại khoản 1 Điều 18 của Nghị định này;
c) Những thông tin về việc thay đổi của doanh nghiệp liên quan đến điều kiện kinh doanh theo quy định tại Điều 29 Luật Giao dịch điện tử (nếu có);
d) Báo cáo tình hình thực hiện giấy phép kể từ ngày được cấp tới ngày đề nghị cấp lại theo Mẫu số 08 tại Phụ lục ban hành kèm theo Nghị định này.
3. Hồ sơ đề nghị thay đổi nội dung giấy phép kinh doanh dịch vụ tin cậy
a) Đơn đề nghị thay đổi nội dung giấy phép theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này;
b) Báo cáo mô tả chi tiết nội dung đề nghị thay đổi và các tài liệu liên quan.
4. Hồ sơ đề nghị gia hạn giấy phép kinh doanh dịch vụ tin cậy
a) Đơn đề nghị gia hạn giấy phép kinh doanh dịch vụ tin cậy của doanh nghiệp do giấy phép cũ hết hạn theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này;
b) Văn bản chứng minh đáp ứng được các điều kiện về tài chính quy định tại khoản 1 Điều 18 của Nghị định này;
c) Báo cáo tình hình thực hiện giấy phép kể từ ngày được cấp tới ngày đề nghị gia hạn theo Mẫu số 08 tại Phụ lục ban hành kèm theo Nghị định này.
1. Doanh nghiệp chuẩn bị 01 bộ hồ sơ tương ứng với đề nghị cấp, cấp lại, thay đổi nội dung, gia hạn giấy phép kinh doanh dịch vụ tin cậy quy định tại Điều 19 của Nghị định này.
2. Hồ sơ đề nghị được nộp trực tiếp tại Bộ Thông tin và Truyền thông hoặc gửi qua đường bưu chính hoặc qua hệ thống dịch vụ công trực tuyến (Cổng Dịch vụ công quốc gia, https://dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ Thông tin và Truyền thông, https://dichvucong.mic.gov.vn).
3. Việc kiểm tra tính hợp lệ của hồ sơ được thực hiện dựa trên các tiêu chí sau:
a) Hồ sơ được lập theo đúng quy định tại khoản 1 Điều này;
b) Hồ sơ phải được làm bằng tiếng Việt. Hồ sơ phải có đủ dấu xác nhận của cơ quan, tổ chức, dấu chứng thực bản sao; các tài liệu bản in do cơ quan, tổ chức lập có từ 02 tờ văn bản trở lên thì phải đóng dấu giáp lai.
4. Trong thời hạn 07 ngày làm việc kể từ ngày nhận được hồ sơ cấp, cấp lại, thay đổi nội dung, gia hạn giấy phép kinh doanh dịch vụ tin cậy, Bộ Thông tin và Truyền thông kiểm tra tính hợp lệ của hồ sơ theo quy định tại khoản 3 Điều này.
a) Trường hợp chưa hợp lệ, Bộ Thông tin và Truyền thông gửi thông báo và nêu rõ lý do;
b) Trường hợp hồ sơ hợp lệ Bộ Thông tin và Truyền thông xem xét, giải quyết theo quy định tại Điều 21 của Nghị định này.
5. Trường hợp doanh nghiệp lựa chọn thực hiện thủ tục cấp, cấp lại, thay đổi nội dung, gia hạn giấy phép kinh doanh dịch vụ tin cậy trên môi trường điện tử, việc tiếp nhận và xử lý hồ sơ thực hiện theo quy định của Chính phủ về thực hiện thủ tục hành chính trên môi trường điện tử, cung cấp dịch vụ công trực tuyến của cơ quan nhà nước trên môi trường mạng và pháp luật về giao dịch điện tử, trừ trường hợp đánh giá thực tế quy định tại khoản 1 và khoản 2 Điều 21 Nghị định này.
1. Đối với hồ sơ đề nghị cấp giấy phép kinh doanh dịch vụ tin cậy
a) Trong thời hạn 07 ngày làm việc, kể từ ngày nhận được hồ sơ hợp lệ, Bộ Thông tin và Truyền thông đề nghị phối hợp thẩm tra hồ sơ của Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan. Trong thời gian 20 ngày kể từ ngày nhận được đề nghị phối hợp thẩm tra hồ sơ, Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan có trách nhiệm trả lời bằng văn bản;
b) Trong thời hạn 20 ngày kể từ ngày nhận được đầy đủ ý kiến phối hợp thẩm tra quy định tại điểm a khoản này, Bộ Thông tin và Truyền thông thẩm tra và cấp giấy phép theo Mẫu số 06 tại Phụ lục ban hành kèm theo Nghị định này. Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do;
c) Trong vòng 01 năm kể từ khi được cấp phép, tổ chức cung cấp dịch vụ tin cậy phải triển khai trên thực tế các điều kiện quy định tại Điều 18 của Nghị định này; báo cáo triển khai hoạt động cung cấp dịch vụ tin cậy theo Mẫu số 07 tại Phụ lục ban hành kèm theo Nghị định này;
d) Chứng thư chữ ký số được cấp, cấp lại cho tổ chức cung cấp dịch vụ tin cậy trong vòng 30 ngày kể từ ngày nhận được báo cáo quy định tại điểm c khoản này và dựa trên đánh giá thực tế về quy trình vận hành hệ thống và quy chế chứng thực; sự phù hợp của hệ thống thông tin cung cấp dịch vụ tin cậy với hồ sơ cấp giấy phép và chứng kiến việc tạo cặp khóa (khóa bí mật và khóa công khai) của tổ chức cung cấp dịch vụ tin cậy. Trường hợp từ chối, tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia phải thông báo bằng văn bản và nêu rõ lý do.
2. Đối với hồ sơ đề nghị cấp lại giấy phép kinh doanh dịch vụ tin cậy
a) Trường hợp mong muốn tiếp tục cung cấp dịch vụ, doanh nghiệp phải đề nghị cấp lại giấy phép tối thiểu 90 ngày trước ngày giấy phép hết hạn;
b) Trong thời hạn 10 ngày kể từ ngày nhận được hồ sơ hợp lệ, Bộ Thông tin và Truyền thông đề nghị phối hợp thẩm tra hồ sơ với Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan. Trong thời gian 20 ngày kể từ ngày nhận được đề nghị phối hợp thẩm tra hồ sơ, Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan có trách nhiệm trả lời bằng văn bản;
c) Trong thời hạn 15 ngày kể từ ngày nhận được đầy đủ ý kiến phối hợp thẩm tra quy định tại điểm a khoản này, Bộ Thông tin và Truyền thông thẩm tra hồ sơ, và cấp lại giấy phép dựa trên việc đáp ứng điều kiện kinh doanh theo quy định tại Điều 18 của Nghị định này và đánh giá thực tế kết quả hoạt động kinh doanh dịch vụ tin cậy. Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do.
3. Đối với hồ sơ đề nghị thay đổi nội dung giấy phép kinh doanh dịch vụ tin cậy
a) Trường hợp có thay đổi một trong các thông tin về địa chỉ trụ sở, tên giao dịch, doanh nghiệp phải đề nghị thay đổi nội dung giấy phép;
b) Trong thời hạn 07 ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ, Bộ Thông tin và Truyền thông thẩm tra, cấp giấy phép cho doanh nghiệp với các nội dung thay đổi. Trường hợp từ chối cấp, Bộ Thông tin và Truyền thông thông báo bằng văn bản và nêu rõ lý do. Thời hạn của giấy phép thay đổi là thời hạn còn lại của giấy phép đã được cấp.
4. Đối với hồ sơ đề nghị gia hạn giấy phép kinh doanh dịch vụ tin cậy
a) Trường hợp giấy phép kinh doanh dịch vụ tin cậy còn ít nhất 60 ngày trước ngày giấy phép hết hạn nhưng đang trong quá trình chia, tách, hợp nhất, sáp nhập và không bị xử lý vi phạm hành chính trong hoạt động kinh doanh dịch vụ tin cậy trong thời hạn 12 tháng tính đến thời điểm nộp hồ sơ đề nghị gia hạn, doanh nghiệp muốn gia hạn giấy phép kinh doanh dịch vụ tin cậy phải gửi đề nghị gia hạn;
b) Trong thời hạn 30 ngày kể từ ngày nhận đủ hồ sơ hợp lệ, Bộ Thông tin và Truyền thông cấp giấy phép gia hạn theo Mẫu số 06 tại Phụ lục ban hành kèm theo Nghị định này. Trường hợp từ chối, Bộ Thông tin và Truyền thông thông báo bằng văn bản và nêu rõ lý do. Thời hạn của giấy phép gia hạn không quá 01 năm kể từ ngày giấy phép hết hạn.
Điều 22. Tạm đình chỉ giấy phép
1. Tổ chức cung cấp dịch vụ tin cậy bị tạm đình chỉ giấy phép không quá 06 tháng khi thuộc một trong các trường hợp sau:
a) Cung cấp dịch vụ sai với nội dung ghi trên giấy phép;
b) Không đáp ứng được một trong các điều kiện kinh doanh quy định tại Điều 18 của Nghị định này kể từ thời điểm bắt đầu cung cấp dịch vụ;
c) Không thực hiện đúng, đủ trách nhiệm kê khai, nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số theo quy định của pháp luật về phí và lệ phí quá 06 tháng.
2. Thủ tục tạm đình chỉ giấy phép, tạm dừng chứng thư chữ ký số
a) Bộ Thông tin và Truyền thông tổ chức làm việc và lập biên bản làm việc với tổ chức cung cấp dịch vụ tin cậy thuộc một trong các trường hợp quy định tại khoản 1 Điều này. Trong vòng 07 ngày làm việc kể từ ngày phát hành biên bản, Bộ Thông tin và Truyền thông xem xét, ban hành quyết định tạm đình chỉ;
b) Trong thời hạn 05 ngày làm việc, tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia tạm dừng chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy và công bố trên trang thông tin điện tử (https://rootca.gov.vn/) trong trường hợp giấy phép kinh doanh dịch vụ tin cậy bị tạm đình chỉ hoặc hệ thống thông tin cung cấp dịch vụ tin cậy không đáp ứng các quy định về kiểm toán kỹ thuật.
3. Trong thời gian bị tạm đình chỉ giấy phép, trường hợp tổ chức cung cấp dịch vụ tin cậy khắc phục xong lý do bị tạm đình chỉ, Bộ Thông tin và Truyền thông sẽ cho phép tổ chức cung cấp dịch vụ tin cậy được tiếp tục cung cấp dịch vụ; phục hồi chứng thư chữ ký số trong thời hạn 07 ngày làm việc kể từ ngày khắc phục lý do bị tạm dừng.
1. Tổ chức cung cấp dịch vụ tin cậy bị thu hồi giấy phép trong các trường hợp sau đây:
a) Không muốn tiếp tục cung cấp dịch vụ;
b) Giải thể, chấm dứt hoạt động;
c) Bị Tòa án ra quyết định tuyên bố phá sản;
d) Bị sáp nhập, hợp nhất;
đ) Trong vòng 01 năm kể từ khi được cấp phép, tổ chức cung cấp dịch vụ tin cậy không triển khai trên thực tế các điều kiện quy định tại Điều 18 của Nghị định này, trừ sự kiện bất khả kháng hoặc trở ngại khách quan theo quy định của pháp luật mà tổ chức cung cấp dịch vụ tin cậy đã có báo cáo bằng văn bản tới Bộ Thông tin và Truyền thông;
e) Có hành vi giả mạo các văn bản trong hồ sơ đề nghị cấp, gia hạn, cấp lại giấy phép hoặc tẩy xóa, sửa chữa nội dung giấy phép đã được cấp;
g) Không khắc phục lý do bị tạm đình chỉ quy định tại khoản 1 Điều 22 của Nghị định này sau thời hạn tạm đình chỉ ấn định của cơ quan có thẩm quyền;
h) Thực hiện các hành vi bị nghiêm cấm theo quy định tại Điều 6 Luật Giao dịch điện tử.
2. Thủ tục thu hồi giấy phép kinh doanh dịch vụ tin cậy của tổ chức cung cấp dịch vụ tin cậy được thực hiện như sau:
a) Bộ Thông tin và Truyền thông tổ chức làm việc và lập biên bản làm việc với tổ chức cung cấp dịch vụ tin cậy thuộc một trong các trường hợp quy định tại khoản 1 Điều này. Trong vòng 30 ngày kể từ ngày phát hành biên bản, Bộ Thông tin và Truyền thông xem xét, ra quyết định thu hồi, đồng thời yêu cầu tổ chức cung cấp dịch vụ tin cậy: dừng ngay việc giao kết hợp đồng kinh doanh dịch vụ tin cậy; thực hiện bàn giao với tổ chức cung cấp dịch vụ tin cậy khác theo thỏa thuận hoặc theo chỉ định của Bộ Thông tin và Truyền thông hồ sơ, cơ sở dữ liệu sau có liên quan đến hoạt động cung cấp dịch vụ:
Đối với dịch vụ chứng thực chữ ký số công cộng: thông tin thuê bao, hồ sơ thuê bao, dữ liệu chứng thư chữ ký số (danh sách công bố chứng thư chữ ký số, toàn bộ danh sách thu hồi chứng thư chữ ký số trong thời gian cung cấp dịch vụ);
Đối với dịch vụ chứng thực thông điệp dữ liệu: thông tin thuê bao, hồ sơ thuê bao, thông tin xác nhận người nhận, người gửi (dựa trên thông tin thuê bao đăng ký); thông tin về thời gian gửi, nhận thông điệp dữ liệu; thông điệp dữ liệu; mã bảo đảm toàn vẹn thông điệp dữ liệu;
Đối với dịch vụ cấp dấu thời gian: thông tin thuê bao, hồ sơ thuê bao, mã bảo đảm toàn vẹn thông điệp dữ liệu để phục vụ việc xác nhận.
b) Trong thời hạn 05 ngày làm việc, tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy và công bố trên trang thông tin điện tử (https://rootca.gov.vn/) thuộc một trong các trường hợp: giấy phép kinh doanh dịch vụ tin cậy bị thu hồi; chứng thư chữ ký số hết hạn sử dụng; yêu cầu bằng văn bản từ cơ quan có thẩm quyền; yêu cầu bằng văn bản của tổ chức cung cấp dịch vụ tin cậy trong đó nêu rõ lý do thu hồi.
3. Doanh nghiệp không được cấp giấy phép trong thời hạn 03 năm, kể từ ngày bị thu hồi giấy phép vì vi phạm các nội dung quy định tại các điểm đ, e và g khoản 1 Điều này.
4. Bộ Thông tin và Truyền thông giám sát và hướng dẫn việc bàn giao giữa các tổ chức cung cấp dịch vụ tin cậy để bảo đảm việc sử dụng dịch vụ không bị gián đoạn của các thuê bao; yêu cầu tổ chức cung cấp dịch vụ tin cậy bị thu hồi phải hoàn tất thủ tục về bảo hiểm hoặc ký quỹ để giải quyết rủi ro và các khoản đền bù xảy ra và thanh toán chi phí tiếp nhận, duy trì cơ sở dữ liệu thông tin liên quan đến hoạt động cung cấp dịch vụ.
Mục 2. HOẠT ĐỘNG DỊCH VỤ TIN CẬY
Điều 24. Dịch vụ cấp dấu thời gian
Dịch vụ cấp dấu thời gian do tổ chức cung cấp dịch vụ tin cậy cung cấp bao gồm các hoạt động sau:
1. Gắn thời gian vào thông điệp dữ liệu; thời gian được gắn vào thông điệp dữ liệu là ngày và thời gian mà tổ chức cung cấp dịch vụ cấp dấu thời gian nhận được thông điệp dữ liệu đó.
2. Cung cấp thông tin cần thiết để giúp chứng thực thông điệp dữ liệu đó của thuê bao đã gắn ngày, tháng, năm và thời gian trên thông điệp dữ liệu.
3. Thực hiện việc lưu trữ, quản lý thông tin người sử dụng dịch vụ.
4. Cấp, gia hạn, tạm dừng, phục hồi và thu hồi tài khoản của thuê bao.
5. Duy trì trực tuyến dữ liệu về thông tin người sử dụng dịch vụ, dấu thời gian đã cấp.
Điều 25. Dịch vụ chứng thực thông điệp dữ liệu
1. Dịch vụ chứng thực thông điệp dữ liệu gồm:
a) Dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu;
b) Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm.
2. Dịch vụ lưu trữ và xác nhận tính toàn vẹn của thông điệp dữ liệu bao gồm các hoạt động sau:
a) Thực hiện việc lưu trữ, quản lý thông tin người sử dụng dịch vụ (dữ liệu nhận dạng sử dụng dịch vụ, dữ liệu xác thực sử dụng dịch vụ);
b) Lưu trữ dữ liệu về bằng chứng danh tính người gửi đã được xác minh;
c) Lưu trữ nhật ký hoạt động của dịch vụ gửi nhận bảo đảm, xác minh danh tính của người gửi và người nhận và các trao đổi thông tin hoặc dữ liệu giữa người gửi hoặc người nhận;
d) Lưu trữ bằng chứng xác minh danh tính của người nhận trước khi gửi;
đ) Chứng minh thông tin trong thông điệp dữ liệu được bảo đảm toàn vẹn trong quá trình gửi nhận;
e) Cung cấp thông tin tham chiếu đến hoặc bản liệt kê toàn bộ quá trình, nội dung gửi nhận thông điệp dữ liệu và nội dung sửa đổi (nếu có) kèm theo dấu thời gian.
3. Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm bao gồm các hoạt động sau:
a) Chứng thực người gửi;
b) Chứng thực được người nhận trước khi gửi dữ liệu;
c) Việc gửi và nhận dữ liệu được bảo đảm bằng chữ ký số của nhà cung cấp dịch vụ tin cậy đủ điều kiện;
d) Thông báo cho người gửi và người nhận dữ liệu về bất kỳ thay đổi nào của dữ liệu cần thiết cho mục đích gửi hoặc nhận dữ liệu;
đ) Gắn dấu thời gian gửi, nhận thông điệp dữ liệu.
Điều 26. Dịch vụ chứng thực chữ ký số công cộng
1. Dịch vụ chứng thực chữ ký số công cộng là dịch vụ do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cung cấp để xác thực chủ thể ký số trên thông điệp dữ liệu, bảo đảm tính chống chối bỏ của chủ thể ký với thông điệp dữ liệu và bảo đảm tính toàn vẹn của thông điệp dữ liệu được ký. Dịch vụ chứng thực chữ ký số công cộng gồm:
a) Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên các phương tiện lưu khóa bí mật bằng thiết bị phần cứng;
b) Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên thiết bị di động;
c) Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa.
2. Dịch vụ chứng thực chữ ký số công cộng do tổ chức cung cấp dịch vụ tin cậy cung cấp bao gồm các hoạt động quy định tại các Điều 35, 36, 37, 38, 39, 40, 41, 42, 43 và 44 của Nghị định này.
1. Kiểm toán kỹ thuật là hoạt động đánh giá độc lập, khách quan đối với hệ thống thông tin, quy trình cung cấp dịch vụ nhằm xác định việc đáp ứng tiêu chuẩn kỹ thuật bắt buộc áp dụng, quy chuẩn kỹ thuật, yêu cầu kỹ thuật của chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử bảo đảm an toàn, chữ ký số, chứng thư chữ ký số và dịch vụ tin cậy.
2. Bộ Thông tin và Truyền thông quy định kiểm toán kỹ thuật theo quy định tại khoản 1 Điều này phù hợp với pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật.
1. Mã quản lý thiết bị là một dãy số hoặc chữ hoặc ký hiệu được sử dụng để định danh thiết bị trong hệ thống thông tin dịch vụ tin cậy theo quy định tại khoản 2 Điều này phục vụ công tác quản lý nhà nước.
Mã quản lý bao gồm các trường thông tin: tên, cấu hình, số sê-ri của thiết bị; địa điểm đặt thiết bị và chức năng của thiết bị.
2. Các thiết bị trong hệ thống thông tin cung cấp dịch vụ tin cậy phải gắn mã bao gồm: máy chủ; thiết bị thuộc thành phần quản lý vòng đời chứng thư chữ ký số; thiết bị lưu khóa bí mật; thiết bị lưu trữ; thiết bị mạng và bảo mật.
3. Cấp mã quản lý
a) Phương thức thực hiện được hướng dẫn và đăng ký tự động qua hệ thống dịch vụ công trực tuyến (Cổng Dịch vụ công quốc gia, https://dichvucong.gov.vn hoặc Cổng dịch vụ công của Bộ Thông tin và Truyền thông, https://dichvucong.mic.gov.vn hoặc cổng dịch vụ công của Trung tâm Chứng thực điện tử quốc gia, https://neac.gov.vn);
b) Thời điểm đăng ký và gắn mã quản lý trước khi hệ thống bắt đầu cung cấp dịch vụ tin cậy và ngay khi thay đổi bất kỳ thiết bị gắn mã;
c) Thời hạn cấp mã quản lý: trong vòng 08 giờ làm việc kể từ khi nhận được thông báo tự động hoàn tất đăng ký.
4. Tổ chức cung cấp dịch vụ tin cậy có trách nhiệm đăng ký và gắn mã được cấp tự động vào thiết bị theo quy định tại khoản 2 và khoản 3 Điều này.
Điều 29. Quy chế chứng thực mẫu
1. Quy chế chứng thực mẫu bao gồm tối thiểu các nội dung về chính sách chứng thư chữ ký điện tử, phạm vi, mục đích sử dụng, đối tượng được cấp, phát hành, yêu cầu đối với vòng đời hoạt động của chứng thư chữ ký điện tử/chứng thư chữ ký số.
2. Bộ Thông tin và Truyền thông ban hành quy chế chứng thực mẫu theo quy định tại khoản 1 Điều này.
3. Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, tổ chức cung cấp dịch vụ tin cậy và tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn có trách nhiệm xây dựng, công khai, thực hiện quy chế chứng thực trên cơ sở quy chế chứng thực mẫu. Khi có sự thay đổi thông tin trong quy chế chứng thực phải thông báo bằng văn bản đến Bộ Thông tin và Truyền thông (Trung tâm Chứng thực điện tử quốc gia).
Điều 30. Liên thông với tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia
Việc liên thông của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia với tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng, với tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ; việc cập nhật trạng thái của chứng thư chữ ký điện tử nước ngoài vào hệ thống chứng thực dịch vụ tin cậy phải bảo đảm các yêu cầu sau theo quy định của Bộ Thông tin và Truyền thông:
1. Hệ thống thông tin phải bảo đảm cho việc kiểm tra trạng thái chứng thư chữ ký điện tử, chứng thư chữ ký số và kiểm tra hiệu lực chữ ký số.
2. Hệ thống thông tin phải có công cụ, biện pháp để bảo vệ dữ liệu và xác thực dữ liệu trong quá trình kết nối liên thông.
3. Các điều kiện kỹ thuật phục vụ liên thông, kết nối cung cấp thông tin để kiểm tra trạng thái chứng thư chữ ký điện tử, chứng thư chữ ký số và kiểm tra hiệu lực chữ ký số.
Điều 31. Trách nhiệm của tổ chức cung cấp dịch vụ tin cậy
1. Thực hiện trách nhiệm theo quy định tại Điều 30 Luật Giao dịch điện tử, quy định pháp luật về an toàn thông tin mạng, an ninh mạng, bảo vệ dữ liệu cá nhân.
2. Thực hiện kiểm toán kỹ thuật định kỳ 02 năm.
3. Trường hợp bị tạm đình chỉ, tổ chức cung cấp dịch vụ tin cậy có trách nhiệm duy trì hệ thống cơ sở dữ liệu liên quan đến chứng thư chữ ký số công cộng đã phát hành cho đến khi được phục hồi chứng thư chữ ký số.
4. Trường hợp bị tạm đình chỉ, tổ chức cung cấp dịch vụ tin cậy có trách nhiệm duy trì cơ sở dữ liệu thông tin liên quan đến hoạt động cung cấp dịch vụ cho đến khi được phục hồi chứng thư chữ ký số.
1. Trường hợp cần xác thực về thời gian ký thông điệp dữ liệu, người nhận kiểm tra dấu thời gian được gắn với thông điệp dữ liệu và các thông tin liên quan về dấu thời gian phải được cấp bởi tổ chức cung cấp dịch vụ tin cậy về dấu thời gian được cấp phép.
2. Người nhận sử dụng công cụ phần mềm kiểm tra và quy trình kiểm tra đáp ứng tiêu chuẩn, quy chuẩn kỹ thuật về dấu thời gian hoặc kiểm tra dấu thời gian trên cả hệ thống chứng thực dịch vụ tin cậy của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia và hệ thống thông tin của tổ chức cung cấp dịch vụ tin cậy.
3. Người nhận phải chịu trách nhiệm về việc chấp nhận dấu thời gian trong các trường hợp sau:
a) Không tuân thủ các quy định tại khoản 1 và khoản 2 Điều này;
b) Đã biết hoặc được thông báo về tình trạng tạm dừng, thu hồi, hết hạn chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy về dấu thời gian trên trên trang thông tin điện tử https://rootca.gov.vn/.
Điều 33. Trách nhiệm của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia
1. Xây dựng, quản lý, khai thác và phát triển hạ tầng chứng thực điện tử quốc gia; quản lý, cung cấp dịch vụ cho các tổ chức cung cấp dịch vụ tin cậy, các cơ quan, tổ chức được cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, tổ chức, cá nhân sử dụng chữ ký số, chứng thư chữ ký số, các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài và các cơ quan, tổ chức, cá nhân sử dụng chữ ký điện tử, chứng thư chữ ký điện tử được công nhận tại Việt Nam.
2. Công bố và cập nhật trên trang thông tin điện tử https://rootca.gov.vn/ những thông tin sau: danh sách các tổ chức cung cấp dịch vụ tin cậy, các cơ quan, tổ chức được cấp chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn, các tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài, chữ ký điện tử nước ngoài, chứng thư chữ ký điện tử nước ngoài được công nhận tại Việt Nam; quy chế chứng thực; danh sách chứng thư chữ ký số có hiệu lực, hết hạn, bị tạm dừng, bị thu hồi và những thông tin cần thiết khác.
3. Điều phối các hoạt động xử lý sự cố liên quan đến dịch vụ chứng thực chữ ký số và xác thực điện tử, dịch vụ cấp dấu thời gian và các dịch vụ khác theo quy định pháp luật giao dịch điện tử; cập nhật, lưu trữ đầy đủ, chính xác thông tin yêu cầu chứng thực theo quy định của pháp luật.
4. Đánh giá thực tế quy trình vận hành hệ thống thông tin cung cấp dịch vụ tin cậy, quy chế chứng thực, sự phù hợp của hệ thống thông tin cung cấp dịch vụ tin cậy với hồ sơ cấp giấy phép, việc tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn và chứng kiến việc tạo cặp khóa bí mật và khóa công khai của tổ chức cung cấp dịch vụ tin cậy.
5. Tự cấp chứng thư chữ ký số, tạo cặp khóa cho mình và cấp, tạm dừng, thu hồi chứng thư chữ ký số cho các tổ chức cung cấp dịch vụ tin cậy được quy định tại Chương III Nghị định này: tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia đóng vai trò và có quyền, nghĩa vụ như tổ chức cung cấp dịch vụ tin cậy theo quy định tại Chương III của Nghị định này. Các tổ chức cung cấp dịch vụ tin cậy đóng vai trò và có quyền, nghĩa vụ như thuê bao theo quy định tại Chương III của Nghị định này.
6. Tổ chức thu, quản lý và sử dụng phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số theo quy định pháp luật phí và lệ phí.
7. Nghiên cứu, xây dựng, quản lý, vận hành hệ thống thử nghiệm, kiểm tra, đánh giá, hiệu chuẩn và đo kiểm tiêu chuẩn, chất lượng sản phẩm, dịch vụ chuyên ngành liên quan đến chữ ký điện tử và dịch vụ tin cậy theo quy định pháp luật giao dịch điện tử.
8. Kiểm tra việc đáp ứng các yêu cầu đối với chữ ký điện tử chuyên dùng bảo đảm an toàn và sự tuân thủ các điều kiện kinh doanh dịch vụ tin cậy.
9. Triển khai các hoạt động hợp tác quốc tế về chữ ký điện tử và dịch vụ tin cậy; phối hợp, hỗ trợ các cơ quan, tổ chức liên quan tích hợp dịch vụ tin cậy vào các ứng dụng công nghệ thông tin nhằm bảo đảm xác thực, an toàn.
Mục 3. HOẠT ĐỘNG CUNG CẤP DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNG
Điều 34. Hồ sơ đề nghị phát hành chứng thư chữ ký số công cộng
1. Giấy đề nghị phát hành chứng thư chữ ký số công cộng dưới dạng bản giấy hoặc điện tử theo mẫu của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
2. Tài liệu kèm theo bao gồm:
a) Đối với cá nhân: giấy tờ tùy thân bao gồm thẻ căn cước công dân hoặc thẻ căn cước hoặc căn cước điện tử hoặc giấy chứng nhận căn cước hoặc tài khoản định danh điện tử mức độ 2 hoặc hộ chiếu còn thời hạn; thị thực nhập cảnh còn thời hạn hoặc giấy tờ chứng minh được miễn thị thực nhập cảnh (đối với cá nhân là người nước ngoài);
b) Đối với tổ chức: quyết định thành lập hoặc quyết định quy định về chức năng, nhiệm vụ, quyền hạn, cơ cấu tổ chức hoặc giấy chứng nhận đăng ký doanh nghiệp hoặc giấy chứng nhận đầu tư hoặc giấy chứng nhận đăng ký hộ kinh doanh và giấy tờ tùy thân của người đại diện theo pháp luật của tổ chức, bao gồm thẻ căn cước công dân hoặc thẻ căn cước hoặc giấy chứng nhận căn cước hoặc tài khoản định danh điện tử mức độ 2 hoặc hộ chiếu; hoặc tài khoản định danh điện tử của tổ chức.
3. Cá nhân, tổ chức có quyền lựa chọn nộp bản sao từ sổ gốc, bản sao có chứng thực hoặc bản sao điện tử hoặc nộp bản sao trình kèm bản chính để đối chiếu hoặc sử dụng tài khoản định danh điện tử mức độ 2 theo quy định của pháp luật về định danh và xác thực điện tử.
Đối với trường hợp xuất trình bản chính để đối chiếu, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải xác nhận vào bản sao và chịu trách nhiệm về tính chính xác của bản sao so với bản chính. Việc hợp pháp hóa lãnh sự đối với các giấy tờ do cơ quan có thẩm quyền của nước ngoài cấp thực hiện theo quy định của pháp luật. Trường hợp giấy tờ trong hồ sơ là bản sao điện tử, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải có giải pháp, công nghệ để thu thập, kiểm tra và đối chiếu, bảo đảm bản sao điện tử có nội dung đầy đủ, chính xác và khớp đúng so với bản chính theo quy định của pháp luật.
4. Trường hợp cá nhân, người đại diện theo pháp luật của tổ chức cung cấp hoặc sử dụng thông tin trong thẻ căn cước công dân hoặc thẻ căn cước hoặc căn cước điện tử hoặc giấy chứng nhận căn cước hoặc thông tin trong tài khoản định danh điện tử mức độ 2 của cá nhân hoặc thông tin trong tài khoản định danh của tổ chức thì tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng (đã có văn bản chấp thuận cho phép thực hiện kết nối với hệ thống định danh và xác thực điện tử theo quy định pháp luật về định danh và xác thực điện tử hoặc có đầy đủ phương tiện đọc dữ liệu trong chíp điện tử, dữ liệu trong tài khoản định danh điện tử mức độ 2) khai thác dữ liệu trong chíp điện tử, dữ liệu của tài khoản định danh điện tử mức độ 2 của cá nhân, tài khoản định danh điện tử của tổ chức; không yêu cầu cá nhân, người đại diện theo pháp luật của tổ chức nộp các hồ sơ, tài liệu theo quy định tại khoản 2 Điều này.
Điều 35. Đề nghị phát hành chứng thư chữ ký số công cộng
1. Khi có nhu cầu đề nghị phát hành chứng thư chữ ký số công cộng, tổ chức, cá nhân lập 01 bộ hồ sơ theo quy định tại Điều 34 của Nghị định này nộp trực tiếp hoặc gửi qua đường bưu chính hoặc phương tiện điện tử đến tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
2. Khi nhận được hồ sơ đề nghị của tổ chức, cá nhân, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải kiểm tra, đối chiếu các giấy tờ trong hồ sơ đề nghị phát hành và xử lý:
a) Nếu các giấy tờ tại hồ sơ đề nghị phát hành chứng thư chữ ký số đã đầy đủ, hợp pháp, hợp lệ và các yếu tố kê khai tại giấy đề nghị phát hành hoàn toàn khớp đúng với các giấy tờ trong hồ sơ đề nghị phát hành chứng thư chữ ký số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thực hiện phát hành chứng thư chữ ký số công cộng cho tổ chức, cá nhân theo quy định tại khoản 3 Điều này;
b) Nếu các giấy tờ trong hồ sơ đề nghị phát hành chứng thư chữ ký số chưa đầy đủ, hợp pháp, hợp lệ hoặc các yếu tố kê khai tại giấy đề nghị phát hành chứng thư chữ ký số công cộng chưa khớp đúng với các giấy tờ trong hồ sơ đề nghị phát hành chứng thư chữ ký số công cộng, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thông báo cho tổ chức, cá nhân để hoàn thiện hồ sơ;
c) Trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng từ chối phát hành chứng thư chữ ký số công cộng thì phải thông báo cho tổ chức, cá nhân biết.
3. Sau khi hoàn thành việc kiểm tra, đối chiếu, xác minh thông tin nhận biết tổ chức, cá nhân, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tiến hành giao kết hợp đồng và phát hành chứng thư chữ ký số công cộng cho thuê bao theo quy định tại Điều 38 của Nghị định này.
4. Phát hành chứng thư chữ ký số công cộng bằng phương thức điện tử được thực hiện theo quy định tại Điều 36 của Nghị định này.
5. Việc phát hành chứng thư chữ ký số công cộng cho tổ chức, cá nhân mà tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đã thiết lập mối quan hệ và hoàn thành việc nhận biết, xác minh thông tin nhận biết tổ chức, cá nhân do tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đó quyết định nhưng phải bảo đảm có hoặc thu thập được đầy đủ thông tin, giấy tờ trong hồ sơ đề nghị phát hành chứng thư chữ ký số công cộng theo quy định tại Điều 34 của Nghị định này.
Điều 36. Phát hành chứng thư chữ ký số công cộng bằng phương thức điện tử
1. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thực hiện phát hành chứng thư chữ ký số công cộng bằng phương thức điện tử phải xây dựng, ban hành, công khai quy trình, thủ tục phát hành chứng thư chữ ký số bằng phương thức điện tử phù hợp với quy định tại Điều này, pháp luật về giao dịch điện tử, các quy định pháp luật liên quan về an toàn thông tin, an ninh mạng, bảo vệ dữ liệu cá nhân, việc phát hành chứng thư chữ ký số công cộng bao gồm tối thiểu các bước như sau:
a) Thu thập thông tin về hồ sơ đề nghị phát hành chứng thư chữ ký số công cộng theo quy định tại Điều 34 của Nghị định này;
b) Thực hiện kiểm tra, đối chiếu và xác minh thông tin nhận biết tổ chức, cá nhân;
c) Cảnh báo cho tổ chức, cá nhân về các hành vi không được thực hiện trong quá trình phát hành và sử dụng chứng thư chữ ký số công cộng bằng phương thức điện tử;
d) Cung cấp cho tổ chức, cá nhân nội dung hợp đồng và thực hiện giao kết hợp đồng với tổ chức, cá nhân.
2. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng được quyết định biện pháp, hình thức, công nghệ để nhận biết và xác minh tổ chức, cá nhân phục vụ việc phát hành chứng thư chữ ký số công cộng bằng phương thức điện tử; chịu trách nhiệm về rủi ro phát sinh (nếu có) và phải đáp ứng các yêu cầu tối thiểu sau:
a) Có giải pháp, công nghệ để thu thập, kiểm tra, đối chiếu, bảo đảm sự khớp đúng giữa thông tin nhận biết tổ chức, cá nhân, dữ liệu sinh trắc học người đại diện theo pháp luật của tổ chức, cá nhân (là các yếu tố, đặc điểm sinh học gắn liền với người đại diện theo pháp luật của tổ chức, cá nhân thực hiện định danh, khó làm giả, có tỷ lệ trùng nhau thấp như vân tay, khuôn mặt, mống mắt, giọng nói và các yếu tố sinh trắc học khác) với các thông tin, yếu tố sinh trắc học tương ứng trên giấy tờ tùy thân của người đại diện theo pháp luật của tổ chức, cá nhân quy định tại khoản 2 Điều 34 của Nghị định này và bảo đảm được định danh đúng chủ thể và thực hiện xác thực danh tính theo quy định của pháp luật về định danh và xác thực điện tử;
b) Có biện pháp kỹ thuật để xác nhận việc tổ chức, cá nhân đã được định danh đồng ý với các nội dung tại hợp đồng;
c) Xây dựng quy trình quản lý, kiểm soát, đánh giá rủi ro, trong đó có biện pháp ngăn chặn các hành vi mạo danh, can thiệp, chỉnh sửa, làm sai lệch việc xác minh thông tin nhận biết tổ chức, cá nhân trước, trong và sau khi phát hành chứng thư chữ ký số cho thuê bao; trường hợp phát hiện có rủi ro, sai lệch hoặc có dấu hiệu bất thường giữa các thông tin nhận biết tổ chức, cá nhân với các yếu tố sinh trắc học của tổ chức, cá nhân hoặc phát hiện giao dịch đáng ngờ trong quá trình ký số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải kịp thời từ chối hoặc tạm ngưng chứng thư chữ ký số công cộng và tiến hành xác minh lại thông tin nhận biết tổ chức, cá nhân. Quy trình quản lý, kiểm soát rủi ro phải thường xuyên được rà soát, hoàn thiện dựa trên những thông tin, dữ liệu cập nhật trong quá trình cung ứng dịch vụ;
d) Lưu trữ, bảo quản đầy đủ, chi tiết theo thời gian đối với các thông tin, dữ liệu nhận biết tổ chức, cá nhân trong quá trình phát hành chứng thư chữ ký số công cộng và sử dụng dịch vụ chứng thực chữ ký số công cộng như: thông tin nhận biết tổ chức, cá nhân; các yếu tố sinh trắc học của người đại diện theo pháp luật của tổ chức, cá nhân; âm thanh, hình ảnh, bản ghi hình, ghi âm; số điện thoại thực hiện giao dịch; nhật ký giao dịch. Các thông tin, dữ liệu phải được lưu trữ an toàn, bảo mật, được sao lưu dự phòng, bảo đảm tính đầy đủ, toàn vẹn của dữ liệu để phục vụ cho công tác kiểm tra, đối chiếu, giải quyết tra soát, khiếu nại, tranh chấp và cung cấp thông tin khi có yêu cầu từ cơ quan quản lý nhà nước có thẩm quyền. Thời gian lưu trữ thực hiện theo quy định của pháp luật về lưu trữ, bảo vệ thông tin cá nhân.
Điều 37. Tạo khóa, phân phối và quản lý khóa cho thuê bao
1. Tổ chức, cá nhân đề nghị phát hành chứng thư chữ ký số công cộng có thể tự tạo cặp khóa hoặc yêu cầu bằng văn bản tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tạo cặp khóa cho mình.
2. Trường hợp tổ chức, cá nhân đề nghị phát hành chứng thư chữ ký số công cộng tự tạo cặp khóa, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cần bảo đảm chắc chắn rằng tổ chức, cá nhân đó đã sử dụng thiết bị tạo cặp khóa theo đúng quy chuẩn kỹ thuật, tiêu chuẩn kỹ thuật bắt buộc áp dụng để tạo ra và lưu trữ cặp khóa.
3. Trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tạo cặp khóa, tổ chức đó phải bảo đảm sử dụng các phương thức an toàn để chuyển giao khóa bí mật đến tổ chức, cá nhân đề nghị phát hành chứng thư chữ ký số công cộng và chỉ được lưu bản sao của khóa bí mật khi tổ chức, cá nhân đề nghị phát hành chứng thư chữ ký số công cộng có yêu cầu bằng văn bản.
4. Trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số từ xa, tổ chức đó được lưu khóa bí mật của tổ chức, cá nhân đề nghị phát hành chứng thư chữ ký số công cộng và phải bảo đảm sử dụng các phương thức an toàn để lưu trữ.
5. Liên quan đến hoạt động quản lý khóa, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm sau:
a) Thông báo ngay cho thuê bao, đồng thời áp dụng những biện pháp ngăn chặn và khắc phục kịp thời trong trường hợp phát hiện thấy dấu hiệu khóa bí mật của thuê bao đã bị lộ, không còn toàn vẹn hoặc bất cứ sự sai sót nào khác có nguy cơ ảnh hưởng xấu đến quyền lợi của thuê bao;
b) Khuyến cáo cho thuê bao việc thay đổi cặp khóa khi cần thiết nhằm bảo đảm tính tin cậy và an toàn cao nhất cho cặp khóa;
c) Khôi phục phương tiện lưu khóa bí mật theo đề nghị của thuê bao.
Điều 38. Phát hành chứng thư chữ ký số công cộng cho thuê bao
1. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phát hành chứng thư chữ ký số công cộng cho thuê bao sau khi kiểm tra được các nội dung sau đây:
a) Thông tin trong hồ sơ đề nghị phát hành chứng thư chữ ký số công cộng của thuê bao là chính xác;
b) Khóa công khai trên chứng thư chữ ký số công cộng sẽ được cấp là duy nhất và cùng cặp với khóa bí mật của tổ chức, cá nhân đề nghị phát hành chứng thư chữ ký số công cộng.
2. Chứng thư chữ ký số công cộng chỉ được cấp cho tổ chức, cá nhân đề nghị phát hành và phải có đầy đủ những thông tin được quy định tại Điều 6 của Nghị định này.
3. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng chỉ được công bố chứng thư chữ ký số công cộng đã cấp cho thuê bao trên cơ sở dữ liệu về chứng thư chữ ký số công cộng của mình sau khi có xác nhận của thuê bao về tính chính xác của thông tin trên chứng thư chữ ký số đó; thời hạn để công bố chậm nhất là 24 giờ sau khi đã có xác nhận của thuê bao; trừ trường hợp có thỏa thuận khác.
4. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải bảo đảm an toàn trong suốt quá trình tạo và chuyển giao chứng thư chữ ký số công cộng cho thuê bao.
Điều 39. Gia hạn chứng thư chữ ký số công cộng cho thuê bao
1. Trước ngày hết hạn của chứng thư chữ ký số công cộng, thuê bao có quyền yêu cầu gia hạn chứng thư chữ ký số công cộng.
2. Khi nhận được yêu cầu gia hạn của thuê bao, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có nghĩa vụ hoàn thành các thủ tục gia hạn chứng thư chữ ký số công cộng trước khi hết hiệu lực và phải bảo đảm thuê bao được định danh đúng chủ thể và thực hiện xác thực danh tính theo quy định của pháp luật về định danh và xác thực điện tử.
3. Trường hợp gia hạn chứng thư chữ ký số công cộng mà thay đổi khóa công khai, thuê bao phải có yêu cầu và nêu rõ lý do; việc tạo khóa, phân phối khóa và công bố chứng thư chữ ký số công cộng được gia hạn thực hiện theo các quy định tại Điều 37 và Điều 38 của Nghị định này.
Điều 40. Thay đổi cặp khóa cho thuê bao
Trong trường hợp thuê bao có nhu cầu thay đổi cặp khóa, thuê bao phải có giấy đề nghị thay đổi cặp khóa. Việc tạo khóa, phân phối khóa và công bố chứng thư chữ ký số công cộng với khóa công khai mới thực hiện theo các quy định tại Điều 37 và Điều 38 của Nghị định này.
Điều 41. Tạm dừng, phục hồi chứng thư chữ ký số công cộng của thuê bao
1. Chứng thư chữ ký số công cộng của thuê bao bị tạm dừng trong các trường hợp sau đây:
a) Khi thuê bao yêu cầu bằng văn bản và yêu cầu này đã được tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng xác minh là chính xác;
b) Khi phát hiện có rủi ro, sai lệch hoặc có dấu hiệu bất thường giữa các thông tin nhận biết tổ chức, cá nhân với các yếu tố sinh trắc học của tổ chức, cá nhân hoặc phát hiện giao dịch đáng ngờ trong quá trình ký số hoặc khi phát hiện ra bất cứ sai sót nào có ảnh hưởng đến quyền lợi của thuê bao và người nhận;
c) Khi thuê bao là tổ chức tạm ngừng toàn bộ hoạt động kinh doanh;
d) Khi có yêu cầu bằng văn bản của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ Thông tin và Truyền thông;
đ) Theo điều kiện tạm dừng chứng thư chữ ký số công cộng đã được quy định trong hợp đồng giữa thuê bao và tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
2. Khi có căn cứ tạm dừng chứng thư chữ ký số công cộng tại khoản 1 Điều này, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải tiến hành tạm dừng, đồng thời thông báo ngay cho thuê bao và công bố trên cơ sở dữ liệu về chứng thư chữ ký số công cộng việc tạm dừng, thời gian bắt đầu và kết thúc việc tạm dừng.
3. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải phục hồi chứng thư chữ ký số công cộng khi không còn căn cứ để tạm dừng chứng thư chữ ký số công cộng hoặc thời hạn tạm dừng theo yêu cầu đã hết hoặc theo yêu cầu của cơ quan nhà nước có thẩm quyền.
Điều 42. Thu hồi chứng thư chữ ký số công cộng của thuê bao
1. Chứng thư chữ ký số công cộng của thuê bao bị thu hồi trong những trường hợp sau đây:
a) Khi thuê bao yêu cầu bằng văn bản và yêu cầu này đã được tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng xác minh là chính xác;
b) Khi thuê bao là cá nhân đã chết hoặc mất tích theo tuyên bố của tòa án hoặc thuê bao là tổ chức giải thể hoặc phá sản theo quy định của pháp luật;
c) Khi có yêu cầu bằng văn bản của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ Thông tin và Truyền thông;
d) Theo điều kiện thu hồi chứng thư chữ ký số công cộng đã được quy định trong hợp đồng giữa thuê bao và tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
2. Khi có căn cứ thu hồi quy định tại khoản 1 Điều này, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải thu hồi chứng thư chữ ký số công cộng, đồng thời thông báo ngay cho thuê bao và công bố trên cơ sở dữ liệu về chứng thư chữ ký số công cộng việc thu hồi.
Điều 43. Cung cấp thông tin
1. Công bố thông tin:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải công khai và duy trì thông tin 24 giờ trong ngày và 07 ngày trong tuần trên trang thông tin điện tử của mình những thông tin sau:
a) Quy chế chứng thực và chứng thư chữ ký số của mình;
b) Danh sách chứng thư số công cộng có hiệu lực, bị tạm dừng, bị thu hồi của thuê bao;
c) Những thông tin cần thiết theo quy định của pháp luật.
2. Cập nhật thông tin:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải cập nhật các thông tin quy định tại khoản 1 Điều này trong vòng 24 giờ khi có thay đổi.
3. Cung cấp thông tin:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải cung cấp trực tuyến theo thời gian thực cho tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia thông tin về số lượng chứng thư chữ ký số công cộng đang có hiệu lực, bị tạm dừng, bị thu hồi để phục vụ công tác quản lý nhà nước về dịch vụ chứng thực chữ ký số công cộng.
4. Lưu trữ thông tin:
a) Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm bảo đảm các điểm tiếp nhận, phần mềm, ứng dụng đề nghị phát hành chứng thư chữ ký số công cộng tuân thủ đầy đủ các quy định về xác thực và lưu trữ thông tin thuê bao; hoàn toàn chịu trách nhiệm trước pháp luật về việc thông tin thuê bao được xác thực, lưu trữ, quản lý đúng quy định tại các điểm tiếp nhận, phần mềm, ứng dụng đề nghị phát hành chứng thư chữ ký số công cộng;
b) Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm xây dựng hệ thống thông tin cung cấp dịch vụ tin cậy, cơ sở dữ liệu thông tin thuê bao tập trung để nhập, lưu trữ, quản lý thông tin trong suốt thời gian sử dụng dịch vụ của thuê bao, bao gồm: thông tin về hồ sơ đề nghị phát hành chứng thư chữ ký số công cộng theo quy định tại Điều 34 của Nghị định này, ngày bắt đầu sử dụng dịch vụ, ngày chấm dứt sử dụng dịch vụ đối với thuê bao đã chấm dứt sử dụng dịch vụ; đối với các thuê bao đã chấm dứt sử dụng dịch vụ, phải tiếp tục lưu trữ thông tin thuê bao trong cơ sở dữ liệu theo pháp luật lưu trữ và tối thiểu 02 năm.
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm lưu trữ toàn bộ thông tin liên quan đến việc tạm đình chỉ hoặc thu hồi giấy phép và các cơ sở dữ liệu thông tin thuê bao, chứng thư chữ ký số công cộng theo pháp luật lưu trữ và tối thiểu 05 năm, kể từ khi giấy phép bị tạm đình chỉ hoặc thu hồi hoặc không được cấp lại;
c) Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm kết nối cơ sở dữ liệu thông tin thuê bao tập trung của tổ chức với Cơ sở dữ liệu của Bộ Thông tin và Truyền thông để phục vụ công tác quản lý nhà nước về giao dịch điện tử; kết nối với Cơ sở dữ liệu quốc gia về dân cư để tham chiếu, xác thực thông tin thuê bao bảo đảm được định danh đúng chủ thể và thực hiện xác thực danh tính theo quy định của pháp luật về định danh và xác thực điện tử;
d) Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm cung cấp đầy đủ thông tin; chứng minh thông tin thuê bao trong cơ sở dữ liệu tập trung của tổ chức đã được đối chiếu, xác thực, nhập, lưu trữ, quản lý theo quy định của pháp luật.
Điều 44. Kết nối đến Cổng kết nối dịch vụ chứng thực chữ ký số công cộng
1. Các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm kết nối đến Cổng kết nối dịch vụ chứng thực chữ ký số công cộng.
2. Các hệ thống thông tin phục vụ giao dịch điện tử sử dụng chữ ký số có trách nhiệm tích hợp với Cổng kết nối dịch vụ chứng thực chữ ký số công cộng để bảo đảm tính xác thực, tính toàn vẹn và tính chống chối bỏ của thông điệp dữ liệu.
3. Bộ Thông tin và Truyền thông hướng dẫn chi tiết việc thực hiện kết nối quy định tại khoản 1 và khoản 2 Điều này.
Điều 45. Quyền và trách nhiệm của thuê bao sử dụng dịch vụ chứng thực chữ ký số công cộng
1. Có quyền yêu cầu tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cung cấp bằng văn bản những thông tin theo hợp đồng đã giao kết.
2. Có quyền yêu cầu tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tạm dừng, thu hồi chứng thư chữ ký số đã cấp và tự chịu trách nhiệm về yêu cầu đó.
3. Cung cấp thông tin theo quy định một cách trung thực, chính xác cho tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng. Trường hợp có sự thay đổi về một trong các thông tin đã cung cấp, thuê bao có trách nhiệm thông báo cho tổ chức cung cấp dịch vụ chứng thực chữ ký công cộng để thực hiện thay đổi nội dung chứng thư chữ ký số công cộng.
4. Trường hợp tự tạo cặp khóa cho mình, thuê bao phải bảo đảm thiết bị tạo cặp khóa đáp ứng quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng.
5. Kiểm soát và sử dụng khóa bí mật của mình một cách an toàn trong suốt thời gian chứng thư chữ ký số công cộng có hiệu lực và bị tạm dừng.
6. Thông báo trong thời gian 24 giờ cho tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng nếu phát hiện thấy dấu hiệu khóa bí mật của mình đã bị lộ, bị đánh cắp hoặc sử dụng trái phép để có các biện pháp xử lý.
7. Khi đã đồng ý để tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng công bố chứng thư chữ ký số công cộng theo quy định tại khoản 3 Điều 38 của Nghị định này hoặc khi đã phát hành chứng thư chữ ký số công cộng đó cho người khác với mục đích để giao dịch, thuê bao được coi là đã cam kết với người nhận rằng thuê bao là người nắm giữ hợp pháp khóa bí mật tương ứng với khóa công khai trên chứng thư chữ ký số công cộng đó và những thông tin trên chứng thư chữ ký số công cộng liên quan đến thuê bao là đúng sự thật, đồng thời phải thực hiện các nghĩa vụ xuất phát từ chứng thư chữ ký số công cộng đó.
8. Chịu trách nhiệm trước pháp luật nếu vi phạm quy định tại các khoản 3, 4, 5, 6 và 7 Điều này và các quy định của pháp luật khác có liên quan.
1. Nghị định này có hiệu lực thi hành từ ngày 10 tháng 4 năm 2025.
2. Nghị định số 130/2018/NĐ-CP ngày 27 tháng 9 năm 2018 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số và Nghị định số 48/2024/NĐ-CP ngày 09 tháng 5 năm 2024 của Chính phủ sửa đổi, bổ sung một số điều của Nghị định số 130/2018/NĐ-CP ngày 27 tháng 9 năm 2018 của Chính phủ quy định chi tiết thi hành Luật Giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số hết hiệu lực kể từ ngày Nghị định này có hiệu lực thi hành, trừ trường hợp quy định tại Điều 47 của Nghị định này.
1. Trường hợp tổ chức được cấp giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng theo các văn bản quy phạm pháp luật quy định chi tiết Luật Giao dịch điện tử số 51/2005/QH11 vẫn còn hiệu lực, việc nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư số theo quy định hiện hành của pháp luật phí và lệ phí cho đến khi cơ quan có thẩm quyền ban hành văn bản thay thế.
2. Tổ chức được cấp giấy phép cung cấp dịch vụ tin cậy có hoạt động cung cấp dịch vụ chứng thực chữ ký số công cộng từ ngày Luật Giao dịch điện tử số 20/2023/QH15 có hiệu lực thi hành, nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số như phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư số theo quy định hiện hành của pháp luật phí và lệ phí cho đến khi cơ quan có thẩm quyền ban hành văn bản thay thế.
3. Đối với dịch vụ mới phát sinh theo quy định của Luật Giao dịch điện tử số 20/2023/QH15 mà chưa có quy định thu phí thì chưa thu cho đến khi cơ quan có thẩm quyền ban hành văn bản quy định thu.
4. Trừ trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng lựa chọn áp dụng quy định của Luật Giao dịch điện tử số 20/2023/QH15, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đang hoạt động hợp pháp, trong vòng 02 năm kể từ ngày Nghị định này có hiệu lực thi hành, phải có trách nhiệm rà soát, nâng cấp hệ thống thông tin và đội ngũ nhân lực quản lý và kỹ thuật đáp ứng quy định tại Nghị định này.
5. Việc cấp chứng thư số theo giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng đã được cấp trước ngày Luật Giao dịch điện tử số 20/2023/QH15 có hiệu lực thi hành và đến ngày Luật Giao dịch điện tử số 20/2023/QH15 có hiệu lực thi hành vẫn còn hiệu lực được thực hiện 01 lần. Thời hạn hiệu lực của chứng thư số được cấp tối đa là 05 năm và không vượt quá thời hạn còn lại của giấy phép.
6. Các phần mềm ứng dụng có tích hợp phần mềm ký số, phần mềm kiểm tra chữ ký số trong vòng 02 năm kể từ ngày Nghị định này có hiệu lực, phải được rà soát, nâng cấp đáp ứng quy định tại Điều 17 Nghị định này.
7. Trường hợp chủ quản hệ thống thông tin phục vụ giao dịch điện tử sử dụng chữ ký số trong giao dịch, chủ quản hệ thống thông tin có trách nhiệm rà soát, nâng cấp hệ thống thông tin, phần mềm ứng dụng để tích hợp phần mềm ký số, phần mềm kiểm tra chữ ký số đáp ứng quy định tại Điều 17 Nghị định này.
Bộ trưởng, Thủ trưởng cơ quan ngang bộ, Thủ trưởng cơ quan thuộc Chính phủ, Chủ tịch Ủy ban nhân dân các cấp và các cơ quan, tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Nghị định này.
|
Nơi nhận: |
TM.
CHÍNH PHỦ |
(Kèm theo Nghị định số 23/2025/NĐ-CP ngày 21 tháng 02 năm 2025 của Chính phủ)
|
Đơn đề nghị cấp/cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn |
|
|
Chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn |
|
|
Văn bản chứng minh việc tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn |
|
|
Đơn đề nghị cấp giấy phép kinh doanh dịch vụ tin cậy |
|
|
Đơn đề nghị thay đổi nội dung/cấp lại/gia hạn giấy phép kinh doanh dịch vụ tin cậy |
|
|
Giấy phép kinh doanh dịch vụ tin cậy |
|
|
Báo cáo triển khai hoạt động cung cấp dịch vụ tin cậy |
|
|
Báo cáo tình hình thực hiện giấy chứng nhận/giấy phép |
|
TÊN CƠ QUAN, TỔ CHỨC |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: … |
….., ngày …. tháng …. năm ….. |
CẤP/CẤP LẠI CHỨNG NHẬN CHỮ KÝ ĐIỆN TỬ CHUYÊN DÙNG BẢO ĐẢM AN TOÀN
Kính gửi: Bộ Thông tin và Truyền thông.
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Nghị định số .../.../NĐ-CP ngày ... tháng ... năm ... của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy;
(Tên cơ quan, tổ chức) đề nghị Bộ Thông tin và Truyền thông cấp/cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn với các nội dung sau:
Phần 1. Thông tin chung về cơ quan, tổ chức
1. Tên giao dịch:
2. Tên giao dịch quốc tế:
3. Quyết định thành lập/Quyết định quy định chức năng, nhiệm vụ số ... do... cấp ngày ... tháng ... năm ... (nếu có) hoặc Giấy chứng nhận đăng ký doanh nghiệp số ... do ... cấp ngày ... tháng ... năm ... (nếu có).
4. Tên người đại diện theo pháp luật:
5. Số định danh cá nhân của người đại diện theo pháp luật:
6. Địa chỉ trụ sở chính:
7. Điện thoại:
Phần 2. Tài liệu kèm theo (ghi rõ loại và số lượng hồ sơ)
|
STT |
Tên tài liệu |
Số lượng |
Ghi chú |
|
1 |
|
|
|
|
2 |
|
|
|
|
3 |
|
|
|
|
… |
|
|
|
Phần 3. Cam kết
(Tên cơ quan, tổ chức) cam kết chịu trách nhiệm về tính chính xác và tính hợp pháp của các thông tin cung cấp nêu trên cùng các tài liệu kèm theo và cam kết tuân thủ các quy định của pháp luật về chữ ký điện tử và pháp luật có liên quan.
|
|
NGƯỜI ĐẠI DIỆN THEO PHÁP LUẬT |
Đầu mối liên hệ về hồ sơ (họ tên, chức vụ, điện thoại, địa chỉ thư điện tử):
|
BỘ THÔNG TIN VÀ |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: …/CN-BTTTT |
Hà Nội, ngày … tháng ... năm … |
CHỨNG NHẬN CHỮ KÝ ĐIỆN TỬ CHUYÊN DÙNG BẢO ĐẢM AN TOÀN
(Có giá trị đến hết ngày... tháng... năm ...)
BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Nghị định số .../.../NĐ-CP ngày ... tháng ... năm ... của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy;
Căn cứ Nghị định số .../.../NĐ-CP ngày ... tháng ... năm ... của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;
Xét hồ sơ đề nghị cấp/cấp lại chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn ngày... tháng... năm ... của ...(1);
Theo đề nghị của ...(2).
NAY CHỨNG NHẬN
Điều 1. Chữ ký điện tử chuyên dùng do (TÊN CƠ QUAN/TỔ CHỨC), tên giao dịch tiếng Anh: (TÊN TIẾNG ANH), có trụ sở tại..., có Quyết định thành lập/Quyết định quy định chức năng nhiệm vụ số ... do ...cấp ngày ... tháng... năm ... (nếu có) hoặc có Giấy chứng nhận đăng ký kinh doanh số: ... do ... cấp ngày ... tháng ... năm ... (nếu có) tạo lập đáp ứng đủ các yêu cầu theo quy định tại khoản 2 Điều 22 Luật Giao dịch điện tử.
Điều 2. Chữ ký điện tử chuyên dùng bảo đảm an toàn được sử dụng riêng cho hoạt động phù hợp với chức năng, nhiệm vụ như sau:
1. Hoạt động nội bộ của (tên cơ quan/tổ chức);
2. Hoạt động chuyên ngành hoặc lĩnh vực, có cùng tính chất hoạt động hoặc mục đích công việc và được liên kết với nhau thông qua ...;
3. Để ký với tổ chức, cá nhân khác trong giao dịch phù hợp chức năng, nhiệm vụ;
4. Không được kinh doanh.
Điều 3. Các tiêu chuẩn, quy chuẩn kỹ thuật áp dụng:...
Điều 4. ...(1) phải thực hiện đúng các quy định tại Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023, Nghị định số .../.../NĐ-CP ngày ... tháng ... năm ... của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy và các quy định của pháp luật có liên quan.
Điều 5. Chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn này có hiệu lực kể từ ngày ký và có giá trị đến hết ngày ... tháng ... năm ...; (3) thay thế Chứng nhận số .../CN-BTTTT do Bộ trưởng Bộ Thông tin và Truyền thông cấp ngày ... tháng ... năm ...
|
|
BỘ TRƯỞNG |
Chú thích:
(1) Tên cơ quan, tổ chức được cấp chứng nhận.
(2) Thủ trưởng đơn vị trình cấp chứng nhận.
(3) Sử dụng trong trường hợp cấp lại.
|
TÊN CƠ QUAN, TỔ CHỨC |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: … |
…, ngày … tháng … năm … |
VĂN BẢN CHỨNG MINH ĐÁP ỨNG YÊU CẦU ĐỐI VỚI CHỮ KÝ ĐIỆN TỬ CHUYÊN DÙNG BẢO ĐẢM AN TOÀN
Kính gửi: Bộ Thông tin và Truyền thông.
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Nghị định số .../.../NĐ-CP ngày ... tháng ... năm ... của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy;
Phần 1. Thông tin chung về cơ quan, tổ chức
1. Tên giao dịch:
2. Tên giao dịch quốc tế:
3. Quyết định thành lập/Quyết định quy định chức năng, nhiệm vụ số ...do ... cấp ngày ... tháng ... năm ... (nếu có) hoặc Giấy chứng nhận đăng ký doanh nghiệp số ... do ... cấp ngày ... tháng ... năm ... (nếu có).
4. Tên người đại diện theo pháp luật:
5. Số định danh cá nhân của người đại diện theo pháp luật:
6. Địa chỉ trụ sở chính:
7. Điện thoại:
Phần 2. Tài liệu kèm theo (ghi rõ loại và số lượng tài liệu)
|
STT |
Tên tài liệu |
Số lượng |
Ghi chú |
|
1 |
Mô tả chi tiết và quy trình vận hành hệ thống thông tin tạo lập chữ ký điện tử chuyên dùng |
|
|
|
2 |
Danh sách nhân lực quản lý và kỹ thuật tham gia vận hành hệ thống thông tin thực tế kèm theo phân công vị trí đảm nhận |
|
|
|
3 |
Mô tả việc đáp ứng đủ các yêu cầu tại khoản 2 Điều 22 Luật Giao dịch điện tử |
|
|
|
4 |
Tình hình tuân thủ quy định pháp luật của cơ quan/tổ chức (đối với trường hợp cấp lại) |
|
|
|
5 |
Quy chế chứng thực (đối với trường hợp chữ ký điện tử chuyên dùng bảo đảm an toàn được bảo đảm bởi chứng thư chữ ký điện tử) |
|
|
|
6 |
Các thay đổi về hệ thống thông tin trong quá trình hoạt động (đối với trường hợp cấp lại) |
|
|
|
7 |
Kết quả kiểm toán kỹ thuật lần gần nhất (nếu có) |
|
|
|
8 |
Các tài liệu khác (nếu có) |
|
|
|
... |
|
|
|
Phần 3. Cam kết
(Tên cơ quan, tổ chức) cam kết chịu trách nhiệm về tính chính xác và tính hợp pháp của các thông tin cung cấp nêu trên cùng các tài liệu kèm theo và cam kết tuân thủ các quy định của pháp luật về chữ ký điện tử và pháp luật có liên quan.
|
|
NGƯỜI ĐẠI DIỆN THEO PHÁP LUẬT |
Đầu mối liên hệ về hồ sơ (họ tên, chức vụ, điện thoại, địa chỉ thư điện tử):
|
TÊN DOANH NGHIỆP |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: … |
…, ngày … tháng … năm … |
CẤP GIẤY PHÉP KINH DOANH DỊCH VỤ TIN CẬY
Kính gửi: Bộ Thông tin và Truyền thông.
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Nghị định số .../.../NĐ-CP ngày ... tháng ... năm ... của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy;
(Tên doanh nghiệp) đề nghị Bộ Thông tin và Truyền thông cấp giấy phép kinh doanh dịch vụ tin cậy với các nội dung sau:
Phần 1. Thông tin chung về doanh nghiệp
1. Tên giao dịch:
2. Tên giao dịch quốc tế:
3. Giấy chứng nhận đăng ký doanh nghiệp số ... do ... cấp ngày ... tháng ... năm ...
4. Tên người đại diện theo pháp luật:
5. Số định danh cá nhân của người đại diện theo pháp luật:
6. Địa chỉ trụ sở chính:
7. Điện thoại:
8. Số Fax:
9. Website:
10. Mã số thuế:
Phần 2. Mô tả tóm tắt về đề nghị cấp giấy phép
Loại Giấy phép đề nghị được cấp phép
1. Giấy phép kinh doanh dịch vụ ... 1
Thời hạn đề nghị cấp phép: ... năm ... tháng...
2. Giấy phép kinh doanh dịch vụ ...2
Thời hạn đề nghị cấp phép: ... năm ... tháng...
Phần 3. Tài liệu kèm theo (ghi rõ loại và số lượng hồ sơ)
|
STT |
Tên tài liệu |
Số lượng |
Ghi chú |
|
1 |
|
|
|
|
2 |
|
|
|
|
3 |
|
|
|
|
… |
|
|
|
Phần 4. Cam kết
(Tên doanh nghiệp) cam kết chịu trách nhiệm về tính chính xác và tính hợp pháp của các thông tin cung cấp nêu trên cùng các tài liệu kèm theo và cam kết tuân thủ các quy định của pháp luật về dịch vụ tin cậy và pháp luật có liên quan.
|
|
NGƯỜI ĐẠI DIỆN THEO PHÁP LUẬT |
Đầu mối liên hệ về hồ sơ (họ tên, chức vụ, điện thoại, địa chỉ thư điện tử):
___________________
1 Điền tên dịch vụ theo quy định tại Nghị định này.
2 Điền tên dịch vụ theo quy định tại Nghị định này.
|
TÊN DOANH NGHIỆP |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: … |
…, ngày … tháng … năm … |
ĐƠN ĐỀ NGHỊ THAY ĐỔI NỘI DUNG/CẤP LẠI/GIA HẠN GIẤY PHÉP KINH DOANH DỊCH VỤ TIN CẬY
Kính gửi: Bộ Thông tin và Truyền thông.
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Nghị định số .../.../NĐ-CP ngày ... tháng ... năm ... của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy;
(Tên doanh nghiệp) đề nghị Bộ Thông tin và Truyền thông thay đổi nội dung Giấy phép kinh doanh dịch vụ tin cậy số... do Bộ trưởng Bộ Thông tin và Truyền thông cấp ngày... tháng... năm, cụ thể như sau:
Phần 1. Thông tin chung về doanh nghiệp
1. Tên giao dịch:
2. Tên giao dịch quốc tế:
3. Giấy chứng nhận đăng ký doanh nghiệp số ... do ... cấp ngày ... tháng ... năm ...
4. Tên người đại diện theo pháp luật:
5. Số định danh cá nhân của người đại diện theo pháp luật:
6. Địa chỉ trụ sở chính:
7. Điện thoại:
8. Số Fax:
9. Website:
10. Mã số thuế:
Phần 2. Mô tả tóm tắt về đề nghị thay đổi nội dung giấy phép/cấp lại/ gia hạn
1. Giấy phép kinh doanh dịch vụ tin cậy đề nghị thay đổi nội dung/cấp lại/ gia hạn:
Giấy phép số ... do Bộ trưởng Bộ Thông tin và Truyền thông cấp ngày ... tháng... năm ...
2. Lý do thay đổi/cấp lại/gia hạn:
3. Nội dung đề nghị thay đổi/cấp lại/gia hạn:
Phần 3. Tài liệu kèm theo (ghi rõ loại và số lượng hồ sơ)
|
STT |
Tên tài liệu |
Số lượng |
Ghi chú |
|
1 |
|
|
|
|
2 |
|
|
|
|
3 |
|
|
|
|
… |
|
|
|
Phần 4. Cam kết
(Tên doanh nghiệp) cam kết chịu trách nhiệm về tính chính xác và tính hợp pháp của các thông tin cung cấp nêu trên cùng các tài liệu kèm theo và cam kết tuân thủ các quy định của pháp luật về dịch vụ tin cậy và pháp luật có liên quan./.
|
|
NGƯỜI ĐẠI DIỆN THEO PHÁP LUẬT |
Đầu mối liên hệ về hồ sơ (họ tên, chức vụ, điện thoại, địa chỉ thư điện tử):
|
BỘ THÔNG TIN VÀ |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: /GP-BTTTT |
Hà Nội, ngày … tháng … năm … |
GIẤY PHÉP KINH DOANH DỊCH VỤ TIN CẬY
BỘ TRƯỞNG BỘ THÔNG TIN VÀ TRUYỀN THÔNG
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Nghị định số .../.../NĐ-CP ngày ... tháng ... năm ... của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy;
Căn cứ Nghị định số .../.../NĐ-CP ngày ... tháng ... năm ... của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Thông tin và Truyền thông;
Xét hồ sơ đề nghị cấp/cấp lại/gia hạn/thay đổi nội dung Giấy phép kinh doanh dịch vụ tin cậy ngày... tháng... năm... của ...(1);
Theo đề nghị của ...(2).
NAY CHO PHÉP
Điều 1. (TÊN DOANH NGHIỆP), tên giao dịch tiếng Anh: (TÊN TIẾNG ANH), có trụ sở tại ..., có Giấy chứng nhận đăng ký kinh doanh số: ... do ... cấp ngày ... tháng ... năm ..., được kinh doanh dịch vụ tin cậy với những nội dung cụ thể như sau:
1. Tên giao dịch: ...(1)
2. Loại dịch vụ tin cậy được cấp phép kinh doanh:
a) Cung cấp dịch vụ ....(3)
Thời hạn cung cấp dịch vụ đến hết ngày... tháng ... năm ...
b) Giấy phép kinh doanh dịch vụ ... (3)
Thời hạn cung cấp dịch vụ đến hết ngày... tháng ... năm ...
3. Phạm vi cung cấp dịch vụ
Tổ chức cung cấp dịch vụ tin cậy (1) được thực hiện các hoạt động theo quy định của Điều .... Nghị định số .../.../NĐ-CP ngày ... tháng ... năm ... của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy.
4. Loại chứng thư chữ ký số và Phương thức lưu khóa bí mật của thuê bao (Đối với dịch vụ chứng thực chữ ký số công cộng)
a) Tổ chức cung cấp dịch vụ tin cậy (1) được cung cấp các loại chứng thư chữ ký số sau:
….
b) Phương thức lưu khóa bí mật của thuê bao như sau:
….
Điều 2. ...(1) phải thực hiện đúng các quy định tại Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023, Nghị định số .../.../NĐ-CP ngày ... tháng ... năm ... của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy và các quy định khác của pháp luật có liên quan.
Điều 3. Giấy phép kinh doanh dịch vụ tin cậy này có hiệu lực kể từ ngày ký và có giá trị đến hết ngày... tháng... năm...; (4) thay thế Giấy phép số .../GP-BTTTT do Bộ trưởng Bộ Thông tin và Truyền thông cấp ngày ... tháng ... năm ...
|
|
BỘ TRƯỞNG |
Chú thích:
(1) Tên doanh nghiệp được cấp giấy phép.
(2) Thủ trưởng đơn vị trình cấp giấy phép.
(3) Dịch vụ tin cậy được phép kinh doanh.
(4) Sử dụng trong trường hợp thay đổi nội dung/cấp lại giấy phép.
|
TÊN DOANH NGHIỆP |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: … |
…, ngày … tháng .. năm … |
HOẠT ĐỘNG CUNG CẤP DỊCH VỤ TIN CẬY
Kính gửi: Bộ Thông tin và Truyền thông
(Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia)
Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;
Căn cứ Nghị định số .../.../NĐ-CP ngày ... tháng ... năm ... của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy;
Phần 1. Thông tin chung về doanh nghiệp
1. Tên giao dịch:
2. Tên giao dịch quốc tế:
3. Giấy chứng nhận đăng ký doanh nghiệp số ... do ... cấp ngày ... tháng ... năm ...
4. Tên người đại diện theo pháp luật:
5. Số định danh cá nhân của người đại diện theo pháp luật:
6. Địa chỉ trụ sở chính:
7. Điện thoại:
8. Số Fax:
9. Website:
10. Mã số thuế:
Phần 2. Mô tả tóm tắt về giấy phép
1. Giấy phép kinh doanh dịch vụ tin cậy được cấp:
Giấy phép số ... do Bộ trưởng Bộ Thông tin và Truyền thông cấp ngày ... tháng ... năm ...
2. Tên dịch vụ tin cậy đề nghị cấp chứng thư chữ ký số:
3. Tên của tổ chức cung cấp dịch vụ tin cậy đề nghị ghi trên chứng thư chữ ký số:
Phần 3. Tài liệu kèm theo (ghi rõ loại và số lượng tài liệu)
|
STT |
Tên tài liệu |
Số lượng |
Ghi chú |
|
1 |
Kết quả triển khai hệ thống thông tin thực tế |
|
|
|
2 |
Hồ sơ nhân lực quản lý và kỹ thuật, hợp đồng (bản sao) |
|
|
|
3 |
Danh sách và phân công nhân lực quản lý và kỹ thuật |
|
|
|
4 |
Dự thảo kịch bản lễ tạo khóa |
|
|
|
5 |
Danh sách thiết bị trong hệ thống thông tin được gắn mã quản lý |
|
|
|
6 |
Kết quả kiểm toán kỹ thuật lần gần nhất (Đối với trường hợp đã có chứng thư chữ ký số và đang cung cấp dịch vụ) |
|
|
|
7 |
Tình hình tuân thủ quy định pháp luật của doanh nghiệp (đối với trường hợp cấp lại) |
|
|
|
8 |
Các quy trình vận hành hệ thống thông tin thực tế |
|
|
|
9 |
Quy chế chứng thực |
|
|
|
10 |
Các thay đổi về hệ thống thông tin khi triển khai thực tế (nếu có) |
|
|
|
11 |
Các tài liệu khác (nếu có) |
|
|
|
… |
|
|
|
Phần 4. Cam kết
(Tên doanh nghiệp) cam kết chịu trách nhiệm về tính chính xác và tính hợp pháp của các thông tin cung cấp nêu trên cùng các tài liệu kèm theo và cam kết tuân thủ các quy định của pháp luật về chữ ký số, dịch vụ tin cậy và pháp luật có liên quan.
|
|
NGƯỜI ĐẠI DIỆN THEO PHÁP LUẬT |
Đầu mối liên hệ về hồ sơ (họ tên, chức vụ, điện thoại, địa chỉ thư điện tử):
|
TÊN DOANH NGHIỆP/ |
CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM |
|
Số: … |
…, ngày … tháng … năm … |
Kính gửi: Bộ Thông tin và Truyền thông.
I. THÔNG TIN VỀ GIẤY CHỨNG NHẬN/GIẤY PHÉP
Giấy phép kinh doanh dịch vụ tin cậy/Giấy chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn số ... do...cấp ngày...tháng...năm ...
II. BÁO CÁO TÌNH HÌNH THỰC HIỆN GIẤY CHỨNG NHẬN/GIẤY PHÉP
Đối với Giấy chứng nhận chữ ký điện tử chuyên dùng bảo đảm an toàn
1. Phạm vi đã cung cấp chữ ký điện tử chuyên dùng bảo đảm an toàn
2. Thống kê số lượng chữ ký điện tử chuyên dùng bảo đảm an toàn được tạo lập
3. Công nghệ, tiêu chuẩn, quy chuẩn về chữ ký điện tử chuyên dùng bảo đảm an toàn
4. Nhân lực
Tình trạng nhân lực, năng lực, kinh nghiệm kỹ thuật của nhân sự trong cơ quan, tổ chức.
Đối với Giấy phép kinh doanh dịch vụ tin cậy
1. Loại dịch vụ cung cấp, phạm vi đã cung cấp dịch vụ
2. Thống kê số người sử dụng dịch vụ, thị phần, doanh thu
3. Hợp đồng sử dụng dịch vụ
4. Giá cước
5. Công nghệ, tiêu chuẩn, quy chuẩn, chất lượng dịch vụ
6. Báo cáo tài chính
Báo cáo tài chính đã được kiểm toán tại năm gần thời điểm thực hiện Báo cáo này nhất.
7. Nhân lực
Tình trạng nhân lực, năng lực, kinh nghiệm kỹ thuật của nhân sự trong doanh nghiệp.
Trân trọng.
|
|
NGƯỜI ĐẠI DIỆN THEO PHÁP LUẬT CỦA |
Đầu mối liên hệ về tài liệu (họ tên, chức vụ, điện thoại, địa chỉ thư điện tử):
|
GOVERNMENT OF
VIETNAM |
THE SOCIALIST
REPUBLIC OF VIETNAM |
|
No: 23/2025/ND-CP |
Hanoi, February 21, 2025 |
ON DIGITAL SIGNATURES AND TRUST SERVICES
Pursuant to Law on Governmental Organization dated June 19, 2015; Law on amendments to Law on Government Organization and Law on Local Governmental Organization dated November 22, 2019;
Pursuant to Law on Electronic Transactions dated June 22, 2023;
Pursuant to Law on Fees and Charges dated November 25, 2015;
At the request of the Minister of Information and Communications;
The Government issues a Decree on digital signatures and trust services.
...
...
...
This Decree provides for digital signatures and trust services, except civil service digital signatures, civil service digital signature authentication services.
This Decree applies to agencies, organizations, individuals (hereinafter referred to as "entities" that directly engaging in or related to digital signatures and trust services.
Article 3. Term interpretation
For the purposes of this Decree, these terms are construed as follows:
1. “Key" means a string of binary digits (0 and 1) used in the cryptographic system.
2. "Digital signing" means the putting the private key into a software program to automatically generate and add digital signatures to data messages.
3. “Valid digital signature certificate" means a digital certificate which is unexpired; not be suspended or revoked.
...
...
...
5. "Subscriber" means an entity entering trust service provision and use contract with a trust service provider.
6. “National e-authentication service provider” is The National E-Authentication Centre affiliated to the Ministry of Information and Communications.
7. "Authentication regulation” means document on policies, procedures for issuance, management of e-signatures or e-signature certificate and use of special-use qualified e-signatures or trust services of the National e-authentication service provider, trust service providers, organizations generating special-use qualified e-signatures.
8. “Service fees for maintaining systems for checking status of digital signature certificates” means the amount of money to maintain the information system for checking status of digital signature certificates for public digital signature authentication services, time stamping services, and data message authentication services.
9. “Secure key storage medium" is a medium containing the subscriber's secret key.
Section 1. E-SIGNATURE CERTIFICATES
Article 4. E-signature certificates
...
...
...
1. Original digital signature certificates of the national e-authentication service provider are digital signature certificates that the national e-authentication service provider granted for themselves corresponding with each trust service.
2. Digital signature certificates of trust service providers are digital signature certificates that the national e-authentication service provider granted for trust service providers corresponding with each trust service, including: digital signature certificates for time stamping services, digital signature certificates for data message authentication services, digital signature certificates for public digital signature authentication services.
3. Public digital signature certificates are digital signature certificates granted for subscriber by public digital signature authentication service providers.
4. Special-use e-signature certificates are e-signature certificates granted by agencies, organizations generating special-use e-signatures.
Article 5. Contents of e-signature certificates
Contents of e-signature certificates include:
1. Information about agencies, organizations generating e-signature certificates.
2. Information about entities granted e-signature certificates, including name; identification code or e-identification of entities granted e-signature certificates and other necessary information (if any).
3. Official number of the e-signature certificates.
...
...
...
5. Data used to check e-signatures of entities granted e-signature certificates.
6. E-signatures of entities generating e-signature certificates.
7. Purposes and scope of use of the e-signature certificates.
8. Legal liability of entities generating e-signature certificates.
Article 6. Contents of digital signature certificates
1. Contents of original digital signature certificates of the national e-authentication service provider include:
a) Name of the national e-authentication service provider;
b) Official number of digital signature certificates.
c) Validity period of digital signature certificates.
...
...
...
dd) Digital signature of the national e-authentication service provider;
e) Purposes and scope of use of the digital signature certificates.
g) Legal liability of the national e-authentication service provider;
h) Asymmetric algorithm.
2. Contents of original digital signature certificates of the trust service provider for each type of trust service include:
a) Name of the organization granting digital signature certificate;
b) Name of the trust service provider;
c) Official number of digital signature certificates;
d) Validity period of digital signature certificates;
...
...
...
e) Digital signature of the organization granting digital signature certificate;
g) Purposes and scope of use of the digital signature certificates.
h) Legal liability of the trust service provider;
i) Asymmetric algorithm.
3. Contents of public digital signature certificates include:
a) Name of the organization publishing digital signature certificate;
b) Name of the subscriber;
c) Official number of digital signature certificates;
d) Validity period of digital signature certificates;
...
...
...
e) Digital signature of the organization publishing digital signature certificate;
g) Purposes and scope of use of the digital signature certificates.
h) Legal liability of the public digital signature authentication service provider;
i) Asymmetric algorithm.
Article 7. Validity period of e-signature certificates, digital signature certificates
1. The validity period of original digital signature certificates of the national e-authentication service provider is 25 years.
2. The validity period of digital signature certificates of the trust service provider:
a) Digital signature certificates for time stamping services: maximum of 05 years;
b) Digital signature certificates for data message authentication services: maximum of 05 years;
...
...
...
3. The validity period of public digital signature certificates: maximum of 03 years.
4. The validity period of special-use digital signature certificates in cases where special-use signatures are secured by special-use digital signature certificates is 10 years.
Article 8. Format of e-signature certificates, digital signature certificates
When granting, publishing e-signature certificates and digital signature certificates, agencies and organizations generating special-use e-signatures and trust service providers must comply with regulations on format of e-signature certificates and digital signature certificates as prescribed by the Minister of Information and Communications.
Section 2. SPECIAL-USE QUALIFIED E-SIGNATURES
Article 9. Special-use qualified e-signatures
1. Special-use qualified e-signatures must satisfy requirements specified in clause 2 of Article 2 of the Law on e-transactions.
Special-use e-signatures secured by e-signature certificates designated by agencies, organizations are considered satisfied requirements specified in clause 2 of Article 2 of the Law on e-transactions.
2. Special-use qualified e-signatures designated and used by agencies and organizations for their particular purposes according with their functions and tasks, including:
...
...
...
b) Operation in fields or sector, having the same nature of activities or purpose of the work and associated together through the operation charter or legal documents defining the common organizational structure or form of association, collective activities;
c) Operation representing the agency or organization itself to create special-use e-signatures to ensure safety in transactions with other organizations and individuals.
3. Agencies and organizations generating special-use qualified e-signatures shall be accountable for the use of special-use qualifies e-signatures as prescribed in Clause 2 of this Article.
Article 10. Application for issuance, re-issuance of special-use qualified e-signature certificate
1. The application for issuance of special-use qualified e-signature certificate includes:
a) Application form for issuance of special-use qualified e-signature certificate using Form No. 01 specified in Appendix attached hereto;
b) Valid copy including a copy extracted from master register or a certified copy or a copy compared with the original copy of one of the following documents: Certificate of business registration, certificate of investment registration for foreign investors, decision on establishment or document regulating structure, organization or other valid equivalent certificates and licenses as prescribed by law on investment and law on enterprises;
c) Operation charter, documents on structure, organization; form of association, collective activities to demonstrate the use of special-use qualified e-signatures according to Clause 2 of Article 9 hereof;
d) Document proving that the generation of a special-use qualified e-signature satisfies all the requirements specified in Clause 1 of Article 9 hereof according to Form No. 03 in the Appendix attached hereto;
...
...
...
2. The application for re-issuance of special-use qualified e-signature certificate includes:
a) Application form for re-issuance of expired special-use qualified e-signature certificate using Form No. 01 specified in Appendix attached hereto;
b) Document proving that the generation of a special-use qualified e-signature satisfies all the requirements specified in Clause 1 of Article 9 hereof according to Form No. 03 in the Appendix attached hereto;
c) Changes in information specified in issuance application specified in points b, c, dd of clause 1 of this Article;
d) Report on the implementation of the certificate from the date of issuance to the date of submission of application for re-issuance using Form No. 08 in the Appendix attached hereto.
1. Agencies, organizations shall prepare 01 set of corresponding application for issuance or re-issuance in Article 10 hereof.
2. Applications are submitted directly to the Ministry of Information and Communications or sent by post or via the online public service system (National Public Service Portal, https://dichvucong.gov.vn or Public Service Portal of the Ministry of Information and Communications, https://dichvucong.mic.gov.vn).
3. The validity of the applications shall be checked based on the following criteria:
...
...
...
b) The application must be in Vietnamese language. The application must have the confirming stamp of the agency, organization, and certifying stamp; documents printed by agencies or organizations with multiple pages must have chopping seals on the edges.
4. Within 07 working days from the date of receiving the application for issuance or re-issuance of a special-use qualified e-signature certificate, the Ministry of Information and Communications shall check the validity of the application in accordance with Clause 3 of this Article.
a) In invalid cases, the Ministry of Information and Communications shall send a notice clearly stating the reasons;
b) In valid cases, the Ministry of Information and Communications shall request the Ministry of Public Security, the Government Cipher Committee and relevant agencies and organizations to cooperate in verifying the application. Within 15 days from the date of receipt of the request for cooperation in verifying the application, the Ministry of Public Security, the Government Cipher Committee and relevant agencies and organizations shall respond in writing;
c) Within 20 days from the date of receiving results of verification prescribed in Point b of this Clause, the Ministry of Information and Communications shall verify and assess the actual information system for creating and issuing and re-issuing special-use qualified e-signature certificates for agencies and organizations. Special-use qualified e-signature certificate form shall comply with Form No. 02 specified in Appendix attached hereto. In cases of refusal, the Ministry of Information and Communications shall send a notice clearly stating the reasons. The validity period of special-use qualified e-signature certificates of agencies and organizations shall be maximum of 10 years.
5. If the agency or organization chooses to carry out the procedure for issuance, re-issuance of special-use qualified e-signature certificate online, the receipt and processing of the application shall comply with the Government's regulations on performance of administrative procedures online, online public services provision of state agencies in the network environment and the law on e-transactions, except for the case of actual assessment specified in Point c of Clause 4 of this Article.
6. In case the special-use qualified e-signature fails to satisfy one of the requirements specified in Clause 2 of Article 22 of the Law on E-transactions, the Ministry of Information and Communications shall revoke the special-use qualified e-signature and publish this matter on their website (https://rootca.gov.vn/).
Article 12. Public digital signature
...
...
...
Article 13. Digital signature certificates of agencies, organizations and competent persons thereof
1. All agencies, organizations, and competent persons thereof prescribed by law that are established and operate legally have the right to be granted and published digital signature certificates.
2. Digital signature certificates granted to competent persons of agencies and organizations must clearly state the title and name of the agency or organization of that person.
1. Digital signature certificates of agencies, organizations, and competent persons thereof granted, published digital signature certificate specified in Article 13 hereof shall only be used to perform transactions and activities under the jurisdiction of the agencies, organizations and titles granted, published digital signature certificates.
2. The signing by proxy, signing per procuration as prescribed by law performed by a person assigned or authorized to use his/her digital signature based on the title of the signer recorded on the digital signature certificate.
Article 15. Obligations of the signer before digital signing
1. Before digital signing, the signer shall carry out the procedures for digital certificate status checking as follows:
a) Check the status of his/her digital signature certificate on the information system of the agency or organization that generates, issues, and publishes that digital signature certificate;
...
...
...
c) If results of steps specified in points a and b of this clause are simultaneously valid, the signer may digitally sign. If results of steps specified in points a and b of this clause are simultaneously invalid, the signer may not digitally sign.
2. The digital signature software used must meet the requirements in Article 17 hereof.
Article 16. Obligations of the recipient when receiving digitally signed data message
1. 1. Before accepting the signer's digital signature, the recipient must check the following information:
a) Digital certificate’s status, scope of use, liability limitation and information on the digital signature certificate of the signer must be identified according to regulations on e-identification and authentication;
b) The digital signature must be created by the private key corresponding to public key on the signer's digital signature certificate;
c) Regarding digital signatures created by foreign digital signature certificate licensed to be used in Vietnam, recipients must check validity of digital signature certificate on both the trust service authentication system of the national e-authentication service provider and the e-signature authentication service provision system of foreign organizations.
2. Recipients must carry out procedures for digital certificate status checking as follows:
a) Check the status of the digital signature certificate at the time of using digital signature, scope of use, liability limitations and information on that digital signature certificate as prescribed in Article 6 of this Decree on the information system of the agency or organization that generates, issues, and publishes that digital signature certificate;
...
...
...
c) The digital signature in the data message is only valid if the checking results in Clauses 1 and 2 of this Article are also valid.
3. The recipient is responsible for accepting the digital signature certificate in the following cases:
a) Failing to comply with the regulations in Clause 1 and Clause 2 of this Article;
b) Coming into knowledge or being informed of the suspension, revocation, or expiration of the subscriber's digital signature certificate.
4. Digital signature verification software that meets the requirements in Article 17 hereof shall be used.
Article 17. Requirements for digital signature verification software
1. Digital signing software and digital signature verification software must comply with technical standards for digital signatures on data messages; do not use technical or technological barriers to limit the verification of digital signature validity.
2. Digital signing software must have the following functions:
a) Authenticating the signatory and digital signing;
...
...
...
c) Storing and canceling information attached to digitally signed data messages;
d) Changing (adding, removing) digital signature certificates of agencies and organizations that generate, issue, and publish digital signature certificates;
dd) Notifying (in words/symbols) the signer whether the digital signing on the data message is successful or unsuccessful.
3. Digital signature verification software must have the following functions:
a) Verifying the validity of digital signatures on data messages;
b) Storing and canceling information attached to digitally signed data messages;
c) Changing (adding, removing) digital signature certificates of agencies and organizations that generate, issue, and publish digital signature certificates;
d) Notifying (in words/symbols) whether the digital signatures are valid or invalid.
4. The Minister of Information and Communications shall provide for technical requirements for the functions of digital signature software and digital signature verification software.
...
...
...
Section 1. TRUST SERVICE BUSINESS
Article 18. Business requirements
Enterprises may register for one or multiple trust services. When registering for any trust service, enterprises must satisfy all the requirements specified in Clause 1 of Article 29 of the Law on E-transactions. The requirements specified in Points b, c, d, and dd of Clause 1 of Article 29 of the Law on E-transactions are elaborated as follows:
1. Regarding financial conditions to resolve risks and recompenses that may occur during the process of providing services and paying for the costs of receiving and maintaining the database of information related to the service provision, enterprises may choose to implement one of the following forms:
a) Deposit at a commercial bank in Vietnam applicable to one or multiple trust services. The deposit level is 10 billion VND for every 300,000 subscribers and not less than 10 billion VND, provided that enterprises are not allowed to collect down payments for more than 01 year from subscribers;
b) Purchase liability insurance for trust service provision to ensure the rights of subscribers during the service provision period.
2. Managerial and technical personnel requirements:
a) Personnel for system operation, including: administration, operation, information safety, information security, access control, monitoring and inspection, digital signature certificate life cycle management, key life cycle management;
...
...
...
c) Personnel in charge of information safety, security, and confidentiality must hold a bachelor's degree or higher in information security and have at least 02 years of experience corresponding to the trained major;
d) Personnel in charge of administration, operation, technical audit, issuance, suspension, cancellation, installation and warranty, monitoring and inspection, and key life cycle management must hold a bachelor's degree or higher in/closely related to information technology and have at least 02 years of experience corresponding to the trained major.
3. Technical plans for service provision applicable to all types of trust services must include the following contents:
a) Comply with standards, technical regulations, technical requirements for digital signatures, digital signature certificates; trust services; cyberinformation security; cybersecurity;
b) Store complete, accurate, and updated subscribers’ information; update the list of unexpired, suspended, and revoked digital signature certificates; subscribers can access and use the Internet for 24/7 access;
c) Ensure that each pair of keys is generated randomly and only once; has the feature to ensure that the secret key shall not be detected when the corresponding public key is available;
d) Warn, prevent and detect illegal online access;
dd) The digital signature certificate lifecycle management component is designed to minimize direct contact with the electronic environment and is independent of systems that do not serve trust services;
e) The information system must ensure at least level 3 cyberinformation security and protect personal data according to the law on cyberinformation security and cybersecurity;
...
...
...
h) Have backups to ensure safe and continuous operation and recovery when incidents occur, procedures for data backup, online data backup, data recovery, and the capability to recover data within 08 working hours from the time of system error; the backup center is at least 20 kilometers away from the main data center and is ready to operate upon error occurring in the main system;
i) The service provision information system is located in Vietnam;
k) Authentication regulations in accordance with Article 29 hereof.
4. For public digital signature authentication services, the technical plan must comply with Clause 3 of this Article and supplement the following contents:
a) The key distribution system for subscribers must ensure the integrity and security of the key pair. In the case of key distribution through a computer network environment, the key distribution system must use the security protocols to ensure the confidentiality of information on the transmission line.
b) Solution to provide information (digital signature certificates, periodic and ad hoc reports as prescribed) by electronic means to the national e-authentication service provider for state management.
5. For time stamping services and data message authentication services, the technical plan must comply with Clause 3 of this Article and supplement the following contents:
a) Time source in accordance with law on national standard time source;
b) Solution to provide information (integrity-checking codes, event log, periodic and ad hoc reports as prescribed) by electronic means to the national e-authentication service provider for state management.
...
...
...
1. Application for issuance of the trust service business license:
a) Application form for issuance of the trust service business license using Form No. 04 specified in Appendix attached hereto, clearly stating the type of trust service;
b) Valid copy including a copy extracted from master register or a certified copy or a copy compared with the original copy of one of the following documents: Certificate of business registration, certificate of investment registration for foreign investors, decision on establishment or other valid equivalent certificates and licenses as prescribed by law on investment and law on enterprises;
c) Documents proving that the applicant satisfies financial conditions specified in Clause 1, Article 18 of hereto;
d) Dossier on managerial and technical personnel, including: Judicial records, certified copies of bachelor’s degree or higher of managerial and technical personnel as prescribed in Clause 2 of Article 18 hereof, job descriptions and previous experience corresponding to such positions, employment contracts and assignment decisions;
dd) Technical plans for service provision applicable to each type of trust services to ensure compliance with clauses 3, 4, and 5 of Article 18 hereof
e) Authentication regulations in accordance with Article 29 hereof.
2. Application for re-issuance of the trust service business license:
a) Application form for re-issuance of expired license using Form No. 05 specified in Appendix attached hereto;
...
...
...
c) Enterprise’s changes in information related to business conditions in accordance with Article 29 of the Law on E-transactions (if any);
d) Report on the implementation of the license from the date of issuance to the date of submission of application for re-issuance using Form No. 08 in the Appendix attached hereto.
3. Application for change of information of the trust service business license:
a) Application form for change of information of the license using Form No. 05 specified in Appendix attached hereto;
b) The report detailing the proposed change and related documents.
4. Application for renewal of the trust service business license:
a) Application form for renewal of the expired trust service business license using Form No. 05 specified in Appendix attached hereto;
b) Documents proving that the applicant satisfies financial conditions specified in Clause 1, Article 18 of hereto;
c) Report on the implementation of the license from the date of issuance to the date of submission of application for renewal using Form No. 08 in the Appendix attached hereto.
...
...
...
1. Enterprises shall prepare 01 set of application for issuance, re-issuance, change of information, or renewal of the trust service business license as prescribed in Article 19 hereof.
2. Applications are submitted directly to the Ministry of Information and Communications or sent by post or via the online public service system (National Public Service Portal, https://dichvucong.gov.vn or Public Service Portal of the Ministry of Information and Communications, https://dichvucong.mic.gov.vn).
3. The validity of the documents shall be checked based on the following criteria:
a) The application shall be prepared in accordance with Clause 1 of this Article;
b) The language used in the application must be Vietnamese. The application must have confirming stamp of the agency, organization, and certifying stamp; documents printed by agencies or organizations with multiple pages must have chopping seals on the edges.
4. Within 07 working days from the date of receiving the application for issuance, re-issuance, change of information, renewal of the trust service business license, the Ministry of Information and Communications shall check the validity of the application in accordance with Clause 3 of this Article.
a) For inadequate application, the Ministry of Information and Communications shall send a notice clearly stating the reasons;
b) For adequate application, the Ministry of Information and Communications will review and settle in accordance with Article 21 hereof.
5. In case enterprises choose to carry out procedures for issuance, re-issuance, change of information, renewal of the trust service business license online, the receipt and processing of applications shall comply with the Government's regulations on performing online administrative procedures, providing online public services of state agencies, and the law on electronic transactions, except for the case of actual assessment specified in Clause 1 and Clause 2 of Article 21 hereof.
...
...
...
1. For applications for issuance of the trust service business license:
a) Within 07 working days from the date of receipt of adequate documents, the Ministry of Information and Communications shall request the Ministry of Public Security, the Government Cipher Committee and relevant agencies and organizations to cooperate in verifying the application. Within 20 days from the date of receipt of the request, the Ministry of Public Security, the Government Cipher Committee and relevant agencies and organizations shall respond in writing;
b) Within 20 days from the date of responses regarding verification prescribed in Point a of this Clause, the Ministry of Information and Communications shall verify and issue license in accordance with Form No. 06 specified in the Appendix attached hereto. In cases of refusal, the Ministry of Information and Communications shall send a notice clearly stating the reasons;
c) Within 01 year from the date of being licensed, the trust service provider must implement the conditions specified in Article 18 hereof; report on the implementation of trust service provision according to Form No. 07 in the Appendix attached hereto;
d) The digital signature certificate shall be issued or reissued to the trust service provider within 30 days from the date of receipt of the report specified in Point c of this Clause and based on the actual assessment of the system operation process and authorization regulations; the conformity of the information system providing trust services with the application for license issuance and witness the creation of the key pair (private key and public key) of the trust service provider. In cases of refusal, the national e-authentication service provider shall send a notice clearly stating the reasons.
2. For applications for reissuance of trust service business license:
a) If enterprises wish to continue providing the service, they must apply for reissuance of the license at least 90 days before the license expires;
b) Within 10 working days from the date of receipt of adequate documents, the Ministry of Information and Communications shall request the Ministry of Public Security, the Government Cipher Committee and relevant agencies and organizations to cooperate in verifying the application. Within 20 days from the date of receipt of the request, the Ministry of Public Security, the Government Cipher Committee and relevant agencies and organizations shall respond in writing;
c) Within 15 days from the date of receiving responses regarding verification prescribed in Point a of this Clause, the Ministry of Information and Communications shall verify the application and reissue license based on the satisfaction of the business conditions as prescribed in Article 18 hereof and the actual assessment of the results of trust service provision. In cases of refusal, the Ministry of Information and Communications shall send a notice clearly stating the reasons
...
...
...
a) In case of changes to any of the information regarding the head office address or transaction name, the enterprise must send application for revising the contents of the license;
b) Within 07 working days from the date of receipt of complete documents, the Ministry of Information and Communications verify the information and issue a license with the revised information. In cases of refusal, the Ministry of Information and Communications shall send a notice clearly stating the reasons; The validity period of the revised license is the remaining validity period of the issued license.
4. For applications for renewal of trust service business license
a) In case the trust service business license has at least 60 days left before the license expires but the enterprise is in the process of full division, separation, consolidation, merger and has not been administratively sanctioned for violations in trust service provision within 12 months from the date of submitting the application for renewal, if they wishing to renew their trust service business license, they must submit a renewal application;
b) Within 30 days from the date of receiving adequate application, the Ministry of Information and Communications renew the license in accordance with Form No. 06 specified in the Appendix attached hereto. In cases of refusal, the Ministry of Information and Communications shall send a notice clearly stating the reasons; The validity of the renewed license shall not exceed 01 year from the date of expiration.
Article 22. License suspension
1. Trust service providers shall have their licenses suspended for no more than 06 months if they:
a) Provide services that are not in accordance with the content stated on the license;
b) Fail to satisfy one of the business conditions specified in Article 18 hereof from the time of starting to provide the service;
...
...
...
2. 2. Procedures for suspension of licenses, digital signature certificates
a) The Ministry of Information and Communications shall organize a meeting and make a record of the meeting with the trust service provider in one of the cases specified in Clause 1 of this Article. Within 07 working days from the date of issuance of the record, the Ministry of Information and Communications shall review and issue a suspension decision;
b) Within 05 working days, the national e-authentication service provider shall suspend the digital signature certificate of the trust service provider and publish such matter on the website (https://rootca.gov.vn/) in case the trust service business license is suspended or the trust service provision information system does not meet the technical audit requirements.
3. During the period of license suspension, if the trust service provider has resolved issue leading to suspension, the Ministry of Information and Communications shall allow the trust service provider to continue providing services; restore the digital signature certificate within 07 working days from the date of resolving the issue.
Article 23. License revocation
1. Trust service providers shall have their licenses revoked if they:
a) Do not want to continue providing services
c) Dissolve or cease operations;
c) Are declared bankrupt by a court decision;
...
...
...
c) Fail to implement the conditions specified in Article 18 hereof within 01 year from the date of being licensed, except for force majeure events or objective obstacles as prescribed by law that they have reported in writing to the Ministry of Information and Communications;
e) Forge documents in the application for issuance, renewal, and reissuance of license or erase or change the content of the granted license;
g) Fail to resolve issue leading to suspension specified in Clause 1 of Article 22 hereof after the suspension period specified by the competent authority expires;
h) Perform prohibited acts as prescribed in Article 6 of the Law on E-transactions.
2. Procedures for revocation of business license of a trust service provider:
a) The Ministry of Information and Communications shall organize a meeting and make a record of the meeting with the trust service provider in one of the cases specified in Clause 1 of this Article. Within 30 working days from the date of issuance of the record, the Ministry of Information and Communications shall review, issue a revocation decision and request the trust service provider to: immediately stop entering into a trust service business contract; handover to other trust service providers in accordance with the agreement or as designated by the Ministry of Information and Communications the following records and databases related to service provision:
For public digital signature authentication services: subscribers’ information and records, digital signature certificate data (list of published digital signature certificates, lists of revoked digital signature certificates during the service provision period);
For data message authentication services: subscribers’ information and records, information confirming the recipient, sender (based on subscribers’ registration information); information on the time of sending and receiving data messages; data messages; integrity-checking codes;
For time stamping services: subscribers’ information and records, integrity-checking codes for confirmation.
...
...
...
3. Enterprises shall not be issued a license within 03 years from the date of license revocation if they violate the Points d, e and g of Clause 1 of this Article.
4. The Ministry of Information and Communications shall supervise and provide guidance on the handover between trust service providers to ensure uninterrupted service use by subscribers; request the trusted service provider with license revoked to complete insurance or deposit procedures to resolve risks and compensation that occur and pay the costs of receiving and maintaining the database of information related to service provision.
Article 24. Time stamping services:
Time stamping services provided by a trust service provider include:
1. Attaching time to a data message; the time attached to a data message is the date and time that the time stamping service provider receives the data message.
2. Providing necessary information to help authenticate that data message of the subscriber who has attached the date, month, year and time on the data message.
3. Performing the storage and management of service users’ information.
4. Issuing, renewing, suspending, restoring and revoking subscribers’ accounts.
...
...
...
Article 25. Data message authentication services
1. Data message authentication services include:
a) Storing and confirming the integrity of data messages;
b) Sending and receiving secured data messages.
2. Data message integrity storage and confirmation services include:
a) Storing and managing service users’ information (identification data and authentication data for service use);
b) Storing data on verified sender identity evidence;
c) Storing the log of activities of the secure sending and receiving services, verifying the identity of the sender and the recipient and the exchange of information or data between the sender and the recipient;
d) Storing the recipient identity verification evidence before sending;
...
...
...
e) Providing reference information to or a list of the entire process, content of sending and receiving data messages and revised content (if any) with a time stamp.
3. Secure data message sending and receiving services include:
a) Authenticating the sender;
b) Authenticating the recipient before sending the data;
c) The sending and receiving of data secured by the digital signature of a qualified trust service provider;
d) Notify the sender and recipient of the data of any changes to the data necessary for the purpose of sending or receiving the data;
dd) Time stamping the sending and receiving of the data message.
Article 26. Public digital signature authentication services
1. Public digital signature authentication services are provided by public digital signature authentication service providers to authenticate the digital signature subject on a data message, ensure the non-repudiation of the signatory subject with the data message and ensure the integrity of the signed data message. Public digital signature authentication services include:
...
...
...
b) Public digital signature authentication service following the digital signature model on mobile devices;
c) Public digital signature authentication service following the remote digital signature model.
2. Public digital signature authentication services provided by trust service providers includes those specified in Articles 35, 36, 37, 38, 39, 40, 41, 42, 43 and 44 hereof.
1. Technical audit is an independent and objective assessment of information systems and service provision procedures to determine compliance with mandatory technical standards, technical regulations, and technical requirements of qualified e-signature, qualified e-signature certificates, digital signatures, and digital signature certificates and trust services.
2. The Ministry of Information and Communications shall regulate technical audits as prescribed in Clause 1 of this Article in accordance with the law on technical standards and regulations.
Article 28. Device management code
1. The device management code is a series of numbers or letters or symbols used to identify devices in the trust service information system as prescribed in Clause 2 of this Article used for state management.
The management code includes the following information fields: name, configuration, serial number of the device; location of the device and function of the device.
...
...
...
3. Issuance of management codes
a) The implementation method is guided and automatically registered through the online public service system (National Public Service Portal, https://dichvucong.gov.vn or the Public Service Portal of the Ministry of Information and Communications, https://dichvucong.mic.gov.vn or the Public Service Portal of the National Electronic Authentication Center, https://neac.gov.vn);
b) Time of registering and attaching management codes before the system starts providing trust services and immediately upon any change in coded devices;
c) Time limit for issuance of management codes: within 08 working hours from the time of receiving the notification of automatic registration completion.
4. Trust service providers is responsible for registering and attaching the automatically issued code to the device as prescribed in Clauses 2 and 3 of this Article.
Article 29. Model authentication regulations
1. Model authentication regulations include at least the contents of the e-signature certificate policy, scope, purpose of use, subjects eligible to be issued, published requirements for the life cycle of the e-signature certificate/digital signature certificate.
2. The Ministry of Information and Communications shall issue the model authentication regulations specified in Clause 1 of this Article.
3. The national e-authentication service provider, trust service providers and the organization generating special-use qualified e-signatures shall be responsible for developing, publicizing and implementing the authentication regulations on the basis of the model authentication regulations. The Ministry of Information and Communications (National Electronic Authentication Center) must be informed of any changes to authentication regulations.
...
...
...
The interconnection of national e-authentication service providers with public digital signature authentication service providers, with civil service digital signatures authentication service providers; the updating of the status of foreign e-signature certificates into the trust service authentication system must ensure the following requirements in accordance with regulations of the Ministry of Information and Communications:
1. The information system must ensure the checking of the status of e-signature certificates, digital signature certificates and the validity of digital signatures.
2. The information system must have tools and measures to protect data and authenticate data during the interconnection process.
3. Technical conditions for interconnection, connection to provide information to check the status of e-signature certificates, digital signature certificates and check the validity of digital signatures.
Article 31. Responsibilities of trust service providers
1. Perform responsibilities as prescribed in Article 30 of the Law on Electronic Transactions, regulations on cyberinformation security, network security, and personal data protection.
2. Conduct technical audits every 2 years.
3. In case of suspension, maintain the database system related to the issued public digital signature certificate until the digital signature certificate is restored.
4. In case of suspension, maintain the database of information related to service provision until the digital signature certificate is restored.
...
...
...
1. If requiring authentication of the time of signing a data message, the recipient shall check the timestamp attached to the data message, and related information about the timestamp must be issued by a licensed time stamping service provider.
2. The recipient shall use software and verification process that meets the technical standards and regulations on timestamps or check the timestamp on both the trust service authentication system of the national e-authentication service provider and the trust service provider information system.
3. The recipient shall be responsible for accepting the timestamp in the following cases:
a) Failing to comply with Clauses 1 and 2 of this Article;
b) Having known or been notified of the suspension, revocation, or expiration of the digital signature certificate of the time stamping service provider on https://rootca.gov.vn/.
Article 33. Responsibilities of national e-authentication service providers
1. Build, manage, operate, and develop the national e- authentication infrastructure; manage and provide services to trust service providers, agencies, organizations generating special-use qualified e-signature certificates, organizations, individuals using digital signatures, digital signature certificates, foreign e-signature authentication service providers, and agencies, organizations, and individuals using e-signatures, e-signature certificates recognized in Vietnam.
2. Publish and update on https://rootca.gov.vn/ the following information: list of trust service providers, agencies and organizations generating special-use qualified e-signature certificates, foreign e-signature authentication service providers, foreign e-signatures, foreign e-signature certificates recognized in Vietnam; authentication regulations; list of unexpired, expired, suspended, revoked digital signature certificates and other necessary information.
3. Coordinate incident handling activities related to digital signature certification and e-authentication services, time stamping services and other services in accordance with the law on e-transactions; update and store complete and accurate information required for authentication as prescribed.
...
...
...
5. Self-issue digital signature certificates, generate key pairs for themselves and issue, suspend, and revoke digital signature certificates for trust service providers as prescribed in Chapter III hereof: national e-authentication service providers shall play the role and have the rights and obligations of trust service providers as prescribed in Chapter III hereof. Trust service providers shall play the role and have the rights and obligations of subscribers as prescribed in Chapter III hereof.
6. Organize the collection, management and use of service fees for maintaining the system to check the status of digital signature certificates in accordance with laws on fees and charges.
7. Research, build, manage and operate the system for testing, inspecting, assessing, calibrating and measuring standards and quality of special-use products and services related to e-signatures and trust services in accordance with laws on e-transactions.
8. Check the compliance with requirements for special-use e-signatures to ensure safety and compliance with conditions for trust service business.
9. Implement international cooperation activities on e-signatures and trust services; cooperate and support relevant agencies and organizations to integrate trust services into information technology applications to ensure authentication and safety.
Section 3. PUBLIC DIGITAL SIGNATURE AUTHENTICATION SERVICE PROVISION
Article 34. Application for issuance of public digital signature certificate
1. Application for issuance of public digital signature certificate shall be made in paper or electronic form according to the form of the public digital signature certification service provider.
2. Attached documents include:
...
...
...
b) For organizations: establishment decisions or decisions on regulations on functions, tasks, powers, organizational structure or business registration certificates or investment certificates or business household registration certificates and ID documents of the legal representative of the organization, including citizen ID card or ID card or ID certificate or level-2 eID accounts or passport; or eID accounts of organizations.
3. Individuals and organizations have the right to choose to submit a copy from the original book, a certified copy or an electronic copy, or submit a copy with the original copy for comparison or use a level-2 eID account in accordance with laws on e-identification and e-authentication.
In the case of presenting the original copy for comparison, the public digital signature authentication service provider must confirm the copy and be responsible for the accuracy of the copy compared to the original. Consular legalization of documents issued by competent foreign authorities is carried out in accordance with law. In case the documents in the application are electronic copies, the public digital signature authentication service provider must have solutions and technology to collect, check and compare, ensuring that the electronic copy has complete, accurate content and matches the original copy in accordance with law.
4. In case an individual or legal representative of an organization provides or uses information in the citizen ID card or ID card or e-identification or ID certificate or information in the level-2 eID account of individual or eID account of organization, the public digital signature authentication service provider (receiving written approval to connect to the e-identification and e-authentication system in accordance with laws on e-identification and e-authentication or having sufficient means to read data in the chip, data in the level-2 eID account) shall use data in the electronic chip, data of the level-2 eID account of individual or eID account of organization; shall not require the individual or legal representative of the organization to submit records and documents as prescribed in Clause 2 of this Article.
Article 35. Request for issuance of public digital signature certificate
1. When wanting to request the issuance of a public digital signature certificate, the organization or individual shall prepare an application as prescribed in Article 34 hereof and submit it directly or by post or by electronic means to the public digital signature authentication service provider.
2. Upon receiving the application from the organization or individual, the public digital signature authentication service provider e must check and compare the documents in the application and process:
a) If the documents in the application for the issuance of a digital signature certificate are complete, legal, unexpired and the elements declared in the request completely match the documents in the application, the public digital signature authentication service provider shall issue the public digital signature certificate to the applicant as prescribed in Clause 3 of this Article;
b) If the documents in the application for issuance of a digital signature certificate are not complete, legal, or unexpired or the elements declared in the request for issuance of a public digital signature certificate do not match the documents in the application, the public digital signature authentication service provider shall notify the applicant to complete the application;
...
...
...
3. After completing the inspection, comparison, and verification of identification of the organization or individual, the public digital signature authentication service provider shall enter into a contract and issue a public digital signature certificate to the subscriber in accordance with Article 38 hereof.
4. Public digital signature certificates shall be issued by electronic means in accordance with Article 36 hereof.
5. Public digital signature certificates shall be issued to organizations and individuals with whom the public digital signature authentication service provider has established a relationship and completed the identification and verification of identification of the organization or individual is decided by the public digital signature authentication service provider, but it must ensure that it has or collects complete information and documents in the application for issuance of public digital signature certificates as prescribed in Article 34 hereof.
Article 36. E-publication of public digital signature certificates
1. Public digital signature authentication service providers that issue public digital signature certificates electronically must develop, issue, and publicize procedures for issuing digital signature certificates electronically in accordance with this Article, laws on e-transactions, and relevant regulations on information security, cybersecurity, personal data protection, and issuance of public digital signature certificates includes at least the following steps:
a) Collect information on the application for issuance of public digital signature certificates in accordance with Article 34 hereof;
b) Conduct checks, comparisons, and verifications of identification of organizations and individuals;
c) Warn organizations and individuals about acts that must not be performed during the electronic issuance and use of public digital signature certificates;
d) Provide organizations and individuals with contract content and execute contracts with organizations and individuals.
...
...
...
a) Have solutions and technologies to collect, check, compare, and ensure the correct match between the identification of the organization, individual, biometric data of the legal representative of the organization, individual (which are biological factors and characteristics associated with the legal representative of the organization, individual performing the identification, difficult to fake, with a low overlap rate such as fingerprints, face, iris, voice and other biometric factors) with the corresponding biometric information and factors on the ID documents of the legal representative of the organization, individual specified in Clause 2, Article 34 hereof and ensure that the subject is correctly identified and identity is authenticated in accordance with law on e-identification and e-authentication;
b) Have technical measures to confirm that the identified organization or individual agrees with the contents of the contract;
c) Develop a process for managing, controlling, and assessing risks, including measures to prevent acts of impersonation, interference, editing, and falsification of the verification of identification of organizations and individuals before, during, and after issuing digital signature certificates to subscribers; in case of detecting risks, discrepancies, or signs of abnormalities between identification organizations and individuals and biometric factors of organizations and individuals or detecting suspicious transactions during the digital signing process, the public digital signature authentication service provider must promptly refuse or suspend the public digital signature certificate and re-verify the identification of organizations and individuals. The risk management and control process must be regularly reviewed and improved based on information and data updated during the service provision process;
d) Store and preserve fully and in detail over time information and data identifying organizations and individuals during the process of issuing public digital signature certificates and using public digital signature authentication services such as: Identification of organizations and individuals; biometric factors of the legal representative of the organizations or individuals; audio, video, audio recordings; transaction phone numbers; transaction logs. Information and data must be stored safely, securely, backed up, ensuring the completeness and integrity of the data to serve the work of inspection, comparison, and settlement of inquiries, complaints, disputes and provision of information upon request from competent state regulatory authorities. Storage time shall be in accordance with laws on storage and protection of personal information.
Article 37. Key generation, distribution and management for subscribers
1. Organizations and individuals applying for the issuance of public digital signature certificates may create key pairs or request in writing the public digital signature authentication service provider to generate key pairs for them.
2. If organizations and individuals applying the issuance of public digital signature certificates can key pairs, they must ensure that they have used the key pair generation device in accordance with the technical regulations and mandatory technical standards applied to generate and store the key pairs.
3. If the organization providing public digital signature authentication services creates key pairs, the organization must ensure that it uses secure methods to transfer the secret key to the organization or individual applying the issuance of public digital signature certificates and may only store a copy of the secret key when the organization or individual applying the issuance of public digital signature certificates requests in writing.
4. If organizations provide public digital signature authentication services using the remote digital signing model, they are allowed to store the secret key of the organizations or individuals applying for issuance of public digital signature certificates and must use secure methods for storage.
...
...
...
a) Immediately notify the subscriber, and at the same time apply timely preventive and remedial measures in case it detects signs that the subscriber's secret key has been leaked, is no longer intact, or has any other errors that may adversely affect the subscriber's rights;
b) Advise the subscriber to change the key pair when necessary to ensure the highest reliability and security for the key pair;
c) Restore the means of storing the secret key upon the subscriber's request.
Article 38. Issuance of public digital signature certificates to subscribers
1. Public digital signature authentication service providers shall issue public digital signature certificates to subscribers after verifying the following contents:
a) The information in the subscriber's application for issuance of public digital signature certificates is correct;
b) The public key on the public digital signature certificate to be issued is unique and is paired with the secret key of the organization or individual applying for issuance of the public digital signature certificate.
2. The public digital signature certificate shall only be issued to the organization or individual applying the issuance and must contain all the information specified in Article 6 hereof.
3. The public digital signature authentication service provider shall only publish the public digital signature certificate issued to the subscriber on the basis of its public digital signature certificate database after receiving confirmation from the subscriber of the accuracy of the information on that digital signature certificate; the deadline for publication shall be no later than 24 hours after receiving confirmation from the subscriber; unless otherwise agreed.
...
...
...
Article 39. Renewal of public digital signature certificates to subscribers
1. Before the expiration date of the public digital signature certificate, the subscriber has the right to apply for a renewal of the public digital signature certificate.
2. Upon receiving renewal application from a subscriber, the public digital signature authentication service provider is obliged to complete the procedures for renewing the public digital signature certificate before its expiration and must ensure that the subscriber is correctly identified as the subject and performs identity authentication in accordance with laws on e-identification and e-authentication.
3. For case of renewal of the public digital signature certificate that have to change the public key, the subscriber must prepare an application and state the reason; the generation, distribution and publication of the renewed public digital signature certificate shall be carried out in accordance with Articles 37 and 38 hereof.
Article 40. Changing the key pair for the subscriber
If subscribers want to change the key pair, they must submit an application for changing the key pair. The generation, distribution and publication of public digital signature certificates with new public keys shall comply with Articles 37 and 38 hereof.
Article 41. Suspension and restoration of public digital signature certificates of subscribers
1. Public digital signature certificates of subscribers shall be suspended in the following cases:
b) When there is a risk, discrepancy or abnormality between the identification of the organization or individual and the biometric factors of the organization or individual, or when a suspicious transaction is detected during the digital signing process, or when any error is detected that affects the rights of the subscriber and the recipient;
...
...
...
d) Upon receiving written request from the prosecution agency, the police agency or the Ministry of Information and Communications;
dd) Being subject to the conditions for suspending the public digital signature certificate as stipulated in the contract between the subscriber and the public digital signature authentication service provider.
2. When there is a basis for suspending the public digital signature certificate as prescribed in Clause 1 of this Article, the public digital signature authentication service provider must suspend it, immediately notify the subscriber and publish on the public digital signature certificate database the suspension, the start and end time of the suspension.
3. The public digital signature authentication service provider must restore the public digital signature certificate when there is no longer a basis for suspending the public digital signature certificate or the suspension period has expired or at the request of a competent state agency.
Article 42. Revocation of public digital signature certificates of subscribers
1. Public digital signature certificates of subscribers shall be revoked in the following cases:
a) When the subscriber requests in writing and this request has been verified by the public digital signature authentication service provider as accurate;
b) When the subscriber is an individual who has died or gone missing as declared by a court or the subscriber is an organization that has dissolved or gone bankrupt as prescribed by law;
c) Upon receiving written request from the prosecution agency, the police agency or the Ministry of Information and Communications;
...
...
...
2. When there are grounds for revocation as prescribed in Clause 1 of this Article, the public digital signature authentication service provider must revoke the public digital signature certificate, immediately notify the subscriber and publish the revocation on the public digital signature certificate database.
Article 43. Information provision
1. Information disclosure:
Public digital signature authentication service providers must publicly disclose and maintain the following information 24/7 on their websites:
a) Regulations on authentication and digital signature certificates;
b) List of unexpired, suspended, and revoked public digital certificates of subscribers;
c) Necessary information as prescribed by law.
2. Information update:
Public digital signature authentication service providers must update the information specified in Clause 1 of this Article within 24 hours of any change.
...
...
...
Public digital signature authentication service providers must provide online real-time information of the number of public digital signature certificates that are in effect, suspended, or revoked to serve the state management of public digital signature certification services to the national e-authentication service provider.
4. Information storage:
a) Public digital signature authentication service providers shall ensure that the reception points, software, and applications requesting the issuance of public digital signature certificates fully comply with the regulations on authentication and storage of subscriber information; shall be fully accountable to the law for the fact that subscriber information is authenticated, stored, and managed as prescribed at the reception points, software, and applications requesting the issuance of public digital signature certificates;
b) Public digital signature authentication service providers shall develop a reliable service information system and a concentrated subscriber information database to input, store, and manage information throughout the subscriber's service use period, including: information on the application for issuance of public digital signature certificates as prescribed in Article 34 hereof, the start date of service use, the date of termination of service use for subscribers who have terminated service use; for subscribers who have terminated service use, subscriber information must continue to be stored in the database in accordance with the law on archives and for at least 02 years.
Public digital signature authentication service providers shall store all information related to the suspension or revocation of licenses and subscriber information databases, public digital signature certificates in accordance with the law on archives and for at least 05 years from the date the license is suspended or revoked or not eligible to be reissued;
c) Public digital signature authentication service providers shall connect the organization's concentrated subscriber information database with the Ministry of Information and Communications' Database to serve the state management of e-transactions; with the National Population Database to have reference and authenticate subscriber information to ensure that the subject is correctly identified and identity authentication is performed in accordance with the law on e-identification and e-authentication;
d) Public digital signature authentication service providers shall provide complete information: proof that subscriber information in the organization's concentrated database has been compared, authenticated, input, stored, and managed as prescribed.
Article 44. Connection to the Public digital signature authentication service portal
1. Public digital signature authentication service providers are responsible for connecting to the Public digital signature authentication service portal.
...
...
...
3. The Ministry of Information and Communications shall elaborate the connection specified in Clauses 1 and 2 of this Article.
1. Have the right to request public digital signature authentication service providers to provide in writing information according to the signed contract.
2. Have the right to request public digital signature authentication service providers to suspend or revoke the issued digital signature certificate and be accountable for such request.
3. Provide information as prescribed honestly and accurately to the public digital signature authentication service provider. Inform the public digital signature authentication service providers of any changes to the provided information for them to make changes to the content of the public digital signature certificate.
4. In case of self-generating key pairs, the subscriber must ensure that the key pair generating device meets the technical regulations and mandatory standards.
5. Control and use their secret keys securely throughout the time the public digital signature certificate is valid and suspended.
6. Notify within 24 hours public digital signature authentication service providers if detecting signs that their secret key has been disclosed, stolen, or used illegally so the providers can take measures to handle such matters.
7. When agreeing to let public digital signature authentication service providers publish the public digital signature certificate as prescribed in Clause 3, Article 38 hereof or when issuing that public digital signature certificate to another person for the purpose of transaction, the subscriber is considered to have committed to the recipient (i) that the subscriber is the legal holder of the secret key corresponding to the public key on that public digital signature certificate and (ii) that the information on the public digital signature certificate related to the subscriber is true, and must perform the obligations arising from that public digital signature certificate.
...
...
...
1. This Decree shall come into force from April 10, 2025.
2. Decree No. 130/2018/ND-CP dated September 27, 2018 of the Government elaborating the Law on e-transactions regarding digital signatures and digital signature authentication services and Decree No. 48/2024/ND-CP dated May 9, 2024 of the Government amending Decree No. 130/2018/ND-CP dated September 27, 2018 shall cease to be effective from the effective date of this Decree, except for the case specified in Article 47 hereof.
Article 47. Transitional provisions
1. If an organization is granted a license to provide public digital signature authentication services under the legislative documents detailing the Law on e-transactions No. 51/2005/QH11 that are still in effect, the payment of the service fee for maintaining the digital certificate status checking system shall comply with the applicable regulations of the law on fees and charges until the competent authority issues a replacing document.
2. An organization granted a license to provide trust services that has been providing public digital signature authentication services since the effective date of the Law on e-transactions No. 20/2023/QH15 shall pay the service fee for maintaining the digital signature certificate status checking system as the service fee for maintaining the digital certificate status checking system in accordance with the applicable regulations of the law on fees and charges until the competent authority issues a replacing document.
3. For newly arising services under the Law on e-transactions No. 20/2023/QH15 for which there are no regulations on fee collection, no fee collection shall be made until the competent authority issues a document on such matter.
...
...
...
5. The issuance of digital certificates under the license to provide public digital signature authentication services that were issued before the effective date of the Law on e-transactions No. 20/2023/QH15 and are still valid on the effective date of the Law on e-transactions No. 20/2023/QH15 shall be carried out once. The maximum validity period of the issued digital certificate is 05 years and shall not exceed the remaining term of the license.
6. Application software that integrates digital signature software and digital signature verification software within 02 years from the effective date of this Decree must be reviewed and upgraded to meet the regulations of Article 17 hereof.
7. If the owner of the information system serving electronic transactions uses digital signatures in transactions, the owner of the information system shall review and upgrade the information system and application to integrate digital signature software and digital signature verification software to meet the regulations of Article 17 hereof.
Article 48. Responsibility for implementation
Ministers, heads of ministerial agencies, heads of government agencies, Presidents of People's Committees at all levels and relevant agencies, organizations and individuals are responsible for implementing this Decree.
ON BEHALF OF
GOVERNMENT OF VIETNAM
PP. PRIME MINISTER
DEPUTY PRIME MINISTER
Nguyen Hoa Binh
;
Nghị định 23/2025/NĐ-CP quy định về chữ ký điện tử và dịch vụ tin cậy
| Số hiệu: | 23/2025/NĐ-CP |
|---|---|
| Loại văn bản: | Nghị định |
| Nơi ban hành: | Chính phủ |
| Người ký: | Nguyễn Hòa Bình |
| Ngày ban hành: | 21/02/2025 |
| Ngày hiệu lực: | Đã biết |
| Tình trạng: | Đã biết |
Văn bản đang xem
Nghị định 23/2025/NĐ-CP quy định về chữ ký điện tử và dịch vụ tin cậy
Chưa có Video
