Tiêu chuẩn đảm bảo an toàn trong giao dịch và thanh toán điện tử ngành Ngân hàng (Phần 2)

II. EIDAS – Quy định về “định danh, xác thực điện tử và dịch vụ tin cậy”

Được phê chuẩn vào tháng 9 năm 2014, Quy định về “Định danh, Xác thực Điện tử và Dịch vụ Tin cậy” dành cho thị trường Chung Châu Âu eIDAS chính thức được công nhận vào tháng 9 năm 2018. Với quy định mới này, cư dân và doanh nghiệp tại Châu Âu có thể sử dụng hệ thống định danh cấp quốc gia để xác thực danh tính khi truy cập dịch vụ công hoặc thực hiện các giao dịch điện tử liên biên giới. Quy định eIDAS được kỳ vọng sẽ thay thế cho Chỉ thị về Chữ ký điện tử 1999/93/EC ra đời cách đây 20 năm – văn bản luật đã lối thời, thiếu tính pháp lý đối với công nghệ mới được ra mắt sau năm 1999.

eIDAS là bộ Quy định hoàn chỉnh nhất về định danh số, tạo nền móng cho nền kinh tế số phát triển an toàn tại Châu Âu

Với eIDAS, các bộ luật chồng chéo của quốc gia thành viên trong Khối EU sẽ được loại bỏ và thay thế bằng một khung pháp lý chung, thống nhất, được công nhận trên toàn khối lãnh thổ về tính pháp lý của chữ ký/con dấu điện tử, dấu thời gian điện tử và văn bản điện tử. Quy định eIDAS mang đến hai lợi ích chủ yếu cho doanh nghiệp và người tiêu dùng: (1) Tăng cường độ tin cậy và minh bạch với giao dịch điện tử trong thị trường chung Châu Âu thông qua một danh sách các nhà cung cấp dịch vụ chứng thực điện tử tiêu chuẩn và (2) Thiết lập một nền tảng pháp lý chung cho giao dịch điện tử an toàn giữa công dân, doanh nghiệp và cơ quan công lập của các quốc gia thành viên.

1. Mô hình quản lý trong mạng lưới eIDAS

Về mô hình quản lý, quy trình định danh điện tử cấp quốc gia thuộc Liên minh Châu Âu mong muốn tích hợp vào mạng lưới eIDAS phải đạt tiêu chuẩn về kỹ thuật và pháp lý được công nhận, đảm bảo tính liên thông khi gia nhập hệ thống định danh điện tử duy nhất. Quy định eIDAS phân loại những tiêu chuẩn nói trên theo ba mức độ đánh giá tin cậy: “thấp”, “tiêu chuẩn” và “nâng cao” ứng với tiêu chuẩn ISO/IEC 29115:2013. Trong đó, mức độ tin cậy “thấp” tương đương ISO/IEC 29115 cấp độ 2, “tiêu chuẩn” tương đương ISO/IEC 29115 cấp độ 3 và “nâng cao” tương đương ISO/IEC 29115 cấp độ 4. Yêu cầu cụ thể về tiêu chuẩn kỹ thuật thiết bị với từng mức bảo mật được công bố trong Bộ luật thi hành (Implementing Act) 2015/1502. Các quốc gia trong mạng lưới eIDAS đạt một trong các mức độ tin cậy trên phải công nhận quy trình định danh điển tử cấp quốc gia của nhau từ tháng 8 năm 2019, cho phép định danh liên biên giới mà không gặp bất cứ trở ngại nào về pháp lý. Một công dân của Bỉ dễ dàng định danh khi đăng ký công dân trên Cổng điện tử của Estonia, bởi hai nước Bỉ và Estonia đều nằm trong mạng lưới eIDAS.

Quy trình định danh điện tử cấp quốc gia không chỉ có nhiệm vụ xác minh danh tính; các nhà cung cấp dịch vụ chứng thực tin cậy (Trust Service Provider – TSP) chịu trách nhiệm đảm bảo tính toàn vẹn của thông tin: đảm bảo dữ liệu của người dùng không bị chối bỏ. Với eIDAS, các TSP thuộc quốc gia thành viên được quản lý bởi Cơ quan Kiểm soát (Supervisory Body) của quốc gia đó. Trong trường hợp TSP đạt yêu cầu chứng nhận Tiêu chuẩn của dịch vụ chứng thực điện tử tin cậy, các TSP này cũng chịu giám sát của Cơ quan Đánh giá Tuân thủ (Conformity Assessment Body) dựa trên tiêu chí đề ra bởi Tổ chức Chứng nhận Châu Âu (European Accreditation).

Mô hình Tổng quan tổ chức cấp quốc gia trong mạng lưới eIDAS cho Chữ ký số

Về mặt kỹ thuật, các TSP phải đảm bảo tuân thủ những tiêu chuẩn đặt ra bởi Hội đồng Tiêu chuẩn Châu Âu – CEN và Viện Tiêu chuẩn Viễn thông Châu Âu – ETSI. Mặc dù các tiêu chuẩn nói trên đã tồn tại từ trước khi eIDAS ra đời và cũng không bắt buộc trong văn bản Quy định, các Cơ quan Kiểm soát nhìn chung công nhận tiêu chuẩn của CEN và ETSI như kim chỉ nam đối với TSP. Những tiêu chuẩn này đảm bảo TSP tuân thủ các công nghệ tối tân nhất phù hợp tiêu chuẩn ISO 27002 và khuôn mẫu được chấp nhận rộng rãi trên thế giới về dịch vụ Cơ sở Hạ tầng Khóa công khai (Public Key Infrastructure – PKI).

Tiêu chuẩn ENT theo Viện tiêu chuẩn Viễn thông Châu Âu ETSI đảm bảo tính tuân thủ cho các TSP thông qua Cơ quan Giám sát Tuân thủ

2. Chữ ký số – cơ bản, nâng cao và đảm bảo

Ngoài yêu cầu về quy trình định danh điện tử quốc gia, eIDAS cũng định nghĩa rõ ràng về loại hình và cấp độ của các thành phần trong hệ thống định danh, xác thực điện tử và dịch vụ tin cậy, bao gồm chữ ký/con dấu điện tử, dấu thời gian điện tử, chứng thư điện tử cho website và dịch vụ vận chuyển dữ liệu điện tử. Đối với chữ ký số và con dấu điện tử, eIDAS quy định về tính pháp lý cũng như các yêu cầu cần có đối với ba loại hình được công nhận, bao gồm “cơ bản”, “nâng cao” và “đảm bảo”. Trong đó, chữ ký điện tử đảm bảo là chữ ký điện tử cấp cao nhất với hiệu lực pháp lý tương đương với với chữ ký tay, được tạo bởi thiết bị phần cứng bảo mật đạt chuẩn CC EAL4+ (ví dụ: thiết bị mã hóa HSM nCipher nShield trong gói giải pháp của SAVIS/TrustCA tuân thủ eIDAS đạt chứng nhận EN 419 221-5) và được chứng nhận bởi CA thuộc Danh sách các nhà cung cấp dịch vụ tin cậy toàn Châu Âu (EU Trusted Lists). Chữ ký điện tử tiêu chuẩn là chuẩn mực được sử dụng trong các dịch vụ công, cũng như trong các giao dịch điện tử đòi hỏi tính bảo mật cao tại Châu Âu.

Tuy quy định eIDAS là trung lập về công nghệ, nhưng sự ra đời của quy định này đánh dấu một tương lai mới cho khả năng ứng dụng ký số từ xa (Remote Signing) và ký số di động (Mobile Signing). Một khi nền tảng tạo chữ ký điện tử và lưu khóa bảo mật sử dụng phần cứng đạt yêu cầu đề ra bởi eIDAS (và tiếp theo là tiêu chuẩn kỹ thuật theo Hội đồng Tiêu chuẩn Châu Âu – CEN và Viện Tiêu chuẩn Viễn thông Châu Âu – ETSI), thì chữ ký điện tử được đảm bảo tính xác thực, toàn vẹn và chống chối bỏ. Điều này cho phép người dùng sử dụng thiết bị di động như một phương pháp Xác thực Tăng cường trong (SCA – Strong Customer Authentication) quy định tại Chỉ thị Dịch vụ Thanh toán sửa đổi PSD2 để yêu cầu ký số thông qua phần cứng mã hóa bảo mật HSM của nhà cung cấp dịch vụ ký số từ xa, mang lại sự tiện lợi và đổi mới trong mô hình định danh điện tử hiện nay.