Về chứng nhận QTSP
Quy định số 910/2014 của Liên minh châu Âu (còn được gọi là Quy định eIDAS) về định danh điện tử và dịch vụ tin cậy là khung pháp lý toàn diện nhất cho chữ ký điện tử, con dấu điện tử, dấu thời gian điện tử, vận chuyển điện tử và chứng thực trang điện tử. Theo đó, eIDAS công nhận tính hợp pháp của các dịch vụ tin cậy và văn bản điện tử, cho phép ứng dụng dịch vụ tin cậy điện tử, chữ ký điện tử, con dấu điện tử, dấu thời gian điện tử xuyên biên giới giữa toàn bộ các quốc gia thành viên EU. Các cá nhân, tổ chức, cơ quan chức năng của châu Âu không thể từ chối tính bằng chứng của các chứng cứ chỉ vì chúng ở dạng điện tử.
Để tạo dựng niềm tin giữa các tổ chức, cá nhân trong thị trường chung châu Âu, quy định eIDAS áp dụng chứng nhận Nhà cung cấp dịch vụ tin cậy đảm bảo (QTSP) như một tiêu chuẩn cao nhất về sự an toàn, tin cậy, bảo mật trong giao dịch điện tử. Hiện nay, chỉ có chữ ký điện tử đảm bảo QES cho cá nhân, con dấu điện tử đảm bảo cho tổ chức QSeal cung cấp bởi nhà cung cấp dịch vụ tin cậy đảm bảo QTSP được công nhận trên toàn lãnh thổ EU về hiệu lực pháp lý tương đương chữ ký tay hoặc dấu mộc của tổ chức mà không phải trải qua bất cứ thủ tục đánh giá hay giải trình nào khác.
Chữ ký điện tử đảm bảo QES mang tới sự tin cậy, toàn vẹn, chống chối bỏ cho các cá nhân tham gia giao dịch trên môi trường điện tử, còn con dấu điện tử đảm bảo QSeal đại diện cho tổ chức khi thực hiện đóng dấu lên văn bản điện tử, hồ sơ tài liệu điện tử. Các nhà cung cấp dịch vụ tin cậy thông thường không đủ điều kiện để cung cấp các dịch vụ chữ ký điện tử đảm bảo QES, con dấu điện tử đảm bảo QSeal như QTSP.
Cơ chế kiểm định khắt khe và tính tuân thủ tuyệt đối của QTSP
Để trở thành Nhà cung cấp dịch vụ tin cậy đảm bảo QTSP, các tổ chức bắt buộc phải trải qua các cơ chế kiểm định, đánh giá nghiêm ngặt của Cơ quan giám sát quốc gia - Supervisory Body (SB) từ khâu chuẩn bị đánh giá đến khâu hậu kiểm và duy trì dịch vụ sau đánh giá. Tất cả các danh mục quy định bởi eIDAS phải được tuân thủ tuyệt đối trước khi chính thức cung cấp dịch vụ. Trong quá trình hoạt động, nhằm duy trì mức độ tín nhiệm, các QTSP được yêu cầu thực hiện đánh giá tính tuân thủ bởi các cơ quan kiểm định - Conformity Assessment Body (CAB) của EU ít nhất 2 năm/lần.
Cơ quan kiểm định tuân thủ (Conformity Assessment Body - CAB) cho các QTSP là đơn vị có kinh nghiệm, chuyên môn được chỉ định bởi cơ quan giám sát quốc gia (Supervisory Body - SB) hoặc cơ quan kiểm định quốc gia (National Assessment Body - NAB). Việc kiểm định tuân thủ sẽ phải được thực hiện trong toàn bộ vòng đời dịch vụ của QTSP từ khi triển khai đến khi chấm dứt hoạt động.
Bài kiểm tra đánh giá tuân thủ của các CAB đối với QTSP được xếp hạng nghiêm ngặt bậc nhất tại Châu Âu về kiểm định an toàn cũng như tính sẵn sàng của dịch vụ tin cậy, áp dụng toàn bộ các yêu cầu về cơ sở hạ tầng, chính sách vận hành, quản lý, bảo mật và tiêu chuẩn kỹ thuật được ban hành bởi Viện viễn thông Châu Âu (ETSI) và Viện chuẩn hóa Châu Âu (CEN) như CEN EN 419 241-1, CEN EN 419 241-2, CEN EN 419 221-5, ETSI TS 119 431, ETSI TS 119 432…
QTSP và bước tiến đối với dịch vụ ký số và chứng thực điện tử Việt Nam
Cũng theo eIDAS, chỉ những nhà cung cấp dịch vụ đảm bảo QTSP mới đủ điều kiện để quản lý thiết bị QSCD thay mặt thuê bao đối với mô hình ký số từ xa Remote Signing. Đối chiếu với các quy định pháp luật Việt Nam như Nghị định 130/2018/NĐ-CP và Thông tư số 16/2019/TT-BTTTT, mô hình ký số từ xa Remote Signing do các QTSP cung cấp đáp ứng đầy đủ những tiêu chuẩn kỹ thuật bắt buộc về dịch vụ chứng thực điện tử và chữ ký số, đồng thời vượt trội hơn ở quy trình quản lý, vận hành, an ninh hệ thống nghiêm ngặt bậc nhất thế giới của eIDAS và ISO/IEC 27001. Có thể nói, nếu một tổ chức được công nhận là QTSP theo tiêu chuẩn châu Âu sẽ đồng thời tuân thủ mức độ cao hơn các quy định của Việt Nam về mô hình ký số từ xa quy định tại Thông tư 16/2019/TT-BTTTT.
Theo điều 14 của eIDAS, châu Âu cho phép công nhận tính pháp lý của Nhà cung cấp dịch vụ tin cậy ở nước thứ ba bên ngoài Liên minh tương đương QTSP tại EU nếu thỏa mãn cả hai điều kiện: thứ nhất, nhà cung cấp dịch vụ tin cậy của nước thứ ba phải đạt chứng nhận QTSP của châu Âu, thứ hai là cơ quan quản lý của nước thứ ba phải ký kết với EU về việc công nhận dịch vụ tin cậy bởi QTSP của EU.
Nếu Việt Nam và EU công nhận lẫn nhau về các dịch vụ được cung cấp bởi QTSP thì đây sẽ là bước tiến lớn đối với khả năng cung cấp dịch vụ ký số, chứng thực điện tử của Việt Nam. Trở thành một QTSP theo chuẩn EU giúp dịch vụ do các đơn vị Việt Nam cung cấp được chấp nhận rộng rãi không những ở Việt Nam mà cả thị trường EU cho thương mại xuyên biên giới, cũng như thể hiện năng lực công nghệ và tính cam kết cao nhất về khả năng đảm bảo an toàn, bảo mật, tin cậy đối với khách hàng.
Khi mô hình ký số từ xa Remote Signing đi vào hoạt động sẽ nâng cao tiêu chuẩn về ký số, chữ ký số, con dấu điện tử, trở thành bàn đạp quan trọng nhằm phổ biến rộng rãi việc sử dụng chữ ký số trong giao dịch điện tử, số hóa tài liệu tại thị trường Việt Nam nhờ sự tiện lợi, bảo mật vượt trội so với phương thức ký số truyền thống. Lúc này, người dùng có thể ký số mọi lúc, mọi nơi, trên mọi thiết bị mà không phải phụ thuộc khả năng tương thích với các cổng kết nối như USB token hay Smart card. Việc ký số ngay trên điện thoại thông minh hay máy tính bảng đảm bảo an toàn, bảo mật, chữ ký số được chấp nhận trên khắp châu Âu và các nước trên giới sẽ trở thành hiện thực.
QTSP giúp thúc đẩy thương mại điện tử, giải quyết bài toán Open Banking/PSD2, đẩy mạnh thực thi Hiệp định EVFTA
Một trong những bài toán khó giải nhất của nền tài chính - kinh tế số là quy trình định danh xác thực điện tử an toàn trong giao dịch. Trước kia, các ngân hàng tự vận hành hệ thống CA chuyên dùng để các bên tiến hành đăng ký dịch vụ. Tuy nhiên, hệ thống này nhanh chóng bị quá tải khi các bên thứ ba hoặc nhiều cơ quan tài chính thực hiện đăng ký và xác thực lẫn nhau, dẫn đến cơ sở dữ liệu định danh ngày càng phức tạp và khó kiểm soát, không đảm bảo liên thông theo một tiêu chuẩn quốc tế về an ninh vận hành hệ thống. Vấn đề này mâu thuẫn với mục đích mở rộng hệ sinh thái tài chính số của Chỉ thị Thanh toán Điện tử - PSD2 và mới nhất là chiến lược Ngân hàng mở - Open Banking của các quốc gia trên thế giới, kìm kẹp sự phát triển của thị trường tài chính nói riêng và lộ trình chuyển đổi kinh tế số, xã hội số nói chung.
Để gỡ khó cho các ngân hàng và các tổ chức tài chính, Khung tiêu chuẩn kỹ thuật chung (Regulatory Technical Standards - RTS) cho chỉ thị thanh toán điện tử PSD2 được ban hành bởi Cơ quan Quản lý Ngân hàng Châu Âu (European Banking Authority - EBA) đã chấp nhận sử dụng chứng thư số, chữ ký điện tử đảm bảo QES và con dấu điện tử đảm bảo QSeal cho quy trình định danh xác thực theo mô hình Ngân hàng Mở - Open Banking. Điều này mở ra phương thức xác thực tin cậy, hợp pháp, được công nhận rộng rãi cho các ngân hàng và các tổ chức tài chính tham gia vào thị trường kinh tế số toàn cầu. Điển hình tại Vương Quốc Anh, Bộ Tài chính nước này đã phê chuẩn quyết định áp dụng Chứng thư số đảm bảo cấp bởi QTSP để ký số, định danh trên môi trường điện tử khi kết nối với các định chế tài chính.
Khi không sử dụng dịch vụ định danh xác thực điện tử của QTSP, các tổ chức tham gia thị trường tài chính số không thể thực hiện quy trình onboarding với các cơ quan quản lý. Việc không tuân thủ các tiêu chuẩn dịch vụ định danh - xác thực cấp độ đảm bảo của QTSP sẽ dẫn tới vô số những rủi ro tiềm ẩn cho các tổ chức tham gia nền tài chính kinh tế số:
- Nhà cung cấp dịch vụ thanh toán (PSP) không được công nhận rộng rãi trên toàn thế giới về tính pháp lý của bằng chứng, chứng từ điện tử và buộc phải chuẩn bị các hồ sơ pháp lý để giải trình.
- Các bên tham gia giao dịch trên môi trường tài chính số không đáp ứng yêu cầu về an ninh, bảo mật đối với xác thực mạnh theo PSD2, dẫn tới khả năng bị rút giấy phép hoạt động trên môi trường quốc tế Open Banking.
- Các tổ chức tài chính, ngân hàng chịu rủi ro bị chối bỏ về công nghệ áp dụng hoặc căn cứ pháp lý khi tiến hành kết nối với thị trường thế giới, không thể tham gia mạng lưới thanh toán - chia sẻ thông tin chung theo PSD2/Open Banking.
- Kiến trúc chứng thư số không đồng bộ; chữ ký điện tử, chữ ký số không cùng định dạng dẫn tới việc kéo dài thời gian, chi phí để xử lý và chứng thực tài liệu điện tử, đặc biệt là các chứng từ tài chính cần lưu trữ lâu dài ít nhất 10 năm hoặc vĩnh viễn.
Thêm vào đó, thị trường tài chính là một trong những thị trường vô cùng nhạy cảm với những rủi ro thường trực về an ninh bảo mật và nguy cơ giả mạo giấy tờ. Cùng với việc chỉ thị thanh toán điện tử PSD2, chiến lược Open Banking đang mở rộng thị trường tài chính số với các phân khúc mới, việc tuân thủ khung tiêu chuẩn EBA RTS thông qua các dịch vụ tin cậy của QTSP là phương thức duy nhất đảm bảo sự tin cậy giữa các nhà cung cấp dịch vụ thanh toán, khách hàng và các tổ chức tài chính - ngân hàng. Thông qua một tiêu chuẩn chung về hạ tầng kỹ thuật, tính hợp pháp của bằng chứng, chứng cứ điện tử và quy trình định danh, xác thực. Các tổ chức tham gia hệ sinh thái tài chính số sẽ tránh được rủi ro về sự chênh lệch quy chuẩn dẫn tới chối bỏ lẫn nhau trên môi trường mạng.
Ứng dụng những dịch vụ chứng thực điện tử và ký số từ nhà cung cấp dịch vụ tin cậy đảm bảo QTSP sẽ là phương thức hiệu quả để hiện đại hóa, chuyển đổi số toàn diện trong giao dịch điện tử, thúc đẩy thương mại điện tử, xây dựng hệ thống ngân hàng số, ngân hàng mở, mở rộng ra là nền tảng Chính phủ mở, Y tế mở,... minh bạch, chia sẻ, bảo mật và hội nhập với thế giới, đẩy mạnh thực thi hiệu quả các Hiệp định thương mại tự do EVFTA, UKVFTA, CPTPP.
Với những giá trị không thể phủ nhận đó của chứng nhận QTSP, những cơ quan chịu trách nhiệm thúc đẩy giao dịch điện tử, thương mại điện tử xuyên biên giới của Việt Nam cần bắt tay hợp tác để tìm hiểu và sớm chấp nhận tiêu chuẩn này để từng bước đưa Việt Nam bước chân vào sân chơi chung, giúp các tổ chức, doanh nghiệp đón đầu thời cơ và tạo lợi thế cạnh tranh lớn trên thị trường toàn cầu.