NEAC yêu cầu các CA nghiêm túc tuân thủ hướng dẫn về dịch vụ chứng thực chữ ký số từ xa và chữ ký số trên thiết bị di động
Trước thông tin một số CA cung cấp dịch vụ ký số trên thiết bị di động, ký số từ xa cho khách hàng khi chưa được kiểm tra kỹ thuật đáp ứng tiêu chuẩn, NEAC đã ra yêu cầu các CA thực hiện nghiêm túc hướng dẫn triển khai dịch vụ quy định tại Công văn số 190/NEAC-TĐCP ngày 07/5/2020.
Với tư cách là đơn vị chịu trách nhiệm hướng dẫn, kiểm tra, đánh giá việc áp dụng các tiêu chuẩn ký số theo mô hình ký số trên thiết bị di động, ký số từ xa ngày 07/5/2020, NEAC đã ban hành Công văn số 190/NEAC-TĐPC về hướng dẫn chi tiết triển khai việc áp dụng các Tiêu chuẩn bắt buộc quy định tại Thông tư 16/2019/TT-BTTTT đối với các CA công cộng và CA chuyên dùng.
Trong đó, NEAC yêu cầu các CA báo cáo sự thay đổi về tính năng kỹ thuật của hệ thống cung cấp dịch vụ chứng thực chữ ký số, bao gồm: phương án kỹ thuật và công bố sự phù hợp của hệ thống kỹ thuật mới với các tiêu chuẩn kỹ thuật bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo quy định tại Thông tư số 16/2019/TT-BTTTT; nộp hồ sơ đề nghị cấp chứng thư số cho dịch vụ ký số trên thiết bị di động, ký số từ xa lên NEAC để thẩm tra. Với quy định này, bắt buộc các CA sẽ phải xây dựng hạ tầng kỹ thuật độc lập cho cho phương án cung cấp dịch vụ theo mô hình ký số trên thiết bị di động và ký số từ xa song song với hệ thống CA đang cấp chứng thư số sử dụng USB token.
Tuy nhiên, thực tế, nhiều đơn vị đã triển khai cung cấp các dịch vụ ký số trên di động, ký số từ xa khi chưa hoàn thành hồ sơ kỹ thuật đáp ứng tiêu chuẩn. Đặc biệt là quy định về thiết bị HSM quản lý khóa của khách hàng và Module SAM quản lý, truy cập khóa ký cho mô đun ký số cần tuân thủ yêu cầu bảo mật mức cao nhất theo tiêu chuẩn eIDAS như EN 419221- 5:2018, EN 419241- 2:2019. Trong Công văn mới nhất số 222/NEAC-TĐPC ngày 25/5/2020, NEAC đề nghị các CA thực hiện nghiêm hướng dẫn tại Công văn số 190/NEAC-TĐPC đã ban hành, nhằm đảm bảo tính an toàn, bảo mật, tính tuân thủ pháp lý và hạn chế tối đa rủi ro cho khách hàng khi giao dịch điện tử mà giá trị pháp lý không được công nhận.
Đối với trường hợp đơn vị đã cung cấp trước dịch vụ cho thuê bao cần báo cáo NEAC phương án xử lý trước ngày 30/5/2020.
Xem thêm: Công văn hướng dẫn số 190/NEAC-TĐPC