NEAC khởi động lại hoạt động đăng ký chứng nhận tiêu chuẩn quốc tế WebTrust cho Hệ thống quản lý, khai thác chứng thư số nước ngoài và hỗ trợ các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng được công nhận quốc tế, sẵn sàng cho triển khai Luật Giao dịch điện tử năm 2023.
Hệ thống quản lý, khai thác chứng thư số nước ngoài và hỗ trợ các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng được công nhận quốc tế (sau đây gọi là hệ thống G3) phục vụ việc công nhận chứng thư số nước ngoài khi vào Việt Nam và hỗ trợ các tổ chức cung cấp dịch vụ chứng thực chữ ký số (CA) công cộng trong nước có nhu cầu được công nhận quốc tế. Mặc dù hệ thống được xây dựng và đưa vào hoạt động từ năm 2019 nhưng đến nay tại Việt Nam vẫn chưa có trường hợp chứng thư số nước ngoài nào yêu cầu được công nhận cũng như chưa có CA công cộng Việt Nam nào làm thủ tục để được công nhận quốc tế. Việc này một phần là do các CA công cộng trong nước chưa có quan tâm đúng mức và chưa được nâng cao nhận thức về việc cần đáp ứng các tiêu chuẩn để được công nhận quốc tế, sẵn sàng cho việc cung cấp dịch vụ ra thị trường ngoài nước.
Về phía Bộ Thông tin và Truyền thông, ngay sau khi Nghị định 130/2018/NĐ-CP được ban hành, Bộ đã chỉ đạo Trung tâm Chứng thực điện tử quốc gia (NEAC) xây dựng hệ thống, sẵn sàng cung cấp dịch vụ, đồng thời nghiên cứu, đề xuất việc nâng cao tính tin cậy của Root CA Việt Nam trong cộng đồng PKI quốc tế, tạo tiền đề thuận lợi cho các CA công cộng Việt Nam tiến hành các thủ tục để được quốc tế công nhận. Trên cơ sở đó, trong các năm 2019, 2021, NEAC đã tích cực nghiên cứu và làm việc với các chuyên gia tư vấn kiểm toán quốc tế nhằm học hỏi, hoàn thiện hệ thống và chính sách trong quản trị, vận hành G3 đáp ứng các tiêu chuẩn WebTrust. (WebTrust là tiêu chuẩn để phục vụ cho việc có được báo cáo kiểm toán kỹ thuật cho hệ thống CA. Theo quy định từ các trình duyệt trên thế giới hiện nay như Google Chrome, Firefox... và hệ điều hành phổ biến như Microsoft Windows, MacOS...để chứng thư số của các SubCA (CA công cộng) được đưa vào được danh sách tin cậy thì cả RootCA và SubCA đều phải có báo cáo kiểm toán kỹ thuật đáp ứng tiêu chuẩn WebTrust).
Nhãn chứng nhận WebTrust
Với yêu cầu đó, G3 đã 2 lần đạt chứng nhận đáp ứng tiêu chuẩn Webtrust (vào năm 2019, 2021). NEAC đã gắn nhãn chứng nhận WebTrust cho G3 trên trang thông tin của Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia (Root CA). Nhãn chứng nhận này do Công ty Kiểm toán quốc tế CPA Canada cấp. Đây là một thông lệ bình thường trên thế giới khi một hệ thống CA đáp ứng và nhận được chứng nhận Webtrust thì sẽ công bố trên trang thông tin. Theo chính sách của CPA, thời hạn công nhận đạt tiêu chuẩn WebTrust và hiệu lực Nhãn chứng nhận là 01 năm. Để được tiếp tục công nhận, CA cần đánh giá lại hệ thống, có báo cáo kiểm toán kỹ thuật và hồ sơ gửi đến CPA.
Mặc dù chưa có chứng thư số nước ngoài nào được công nhận tại Việt Nam và cũng chưa có CA công cộng Việt Nam nào được công nhận quốc tế, nhưng việc đạt chứng nhận WebTrust trong các năm 2019, 2021 của G3 đã góp phần đưa Việt Nam tiến xa trong cộng đồng PKI thế giới. Trong đại dịch Covid, Việt Nam đã rất thuận lợi khi phát hành hộ chiếu vacxin điện tử sử dụng công nghệ PKI và được EU công nhận. Không chỉ vậy, RootCA Việt Nam cũng nhận được sự tin cậy của nhiều quốc gia, đã đạt được nhiều kết quả trong hoạt động hợp tác quốc tế như tham gia Hiệp hội PKI châu Á (APKIC); trao đổi được nhiều bài học kinh nghiệm quốc tế về thực tiễn triển khai PKI với nhiều quốc gia như Thái Lan, Malaysia, Ấn Độ, Hàn Quốc, Ả rập Xê Út, Mỹ, Anh, Đức, Phần Lan, Estonia, Nga…
Luật Giao dịch điện tử 2023 ra đời đã đưa dịch vụ chứng thực chữ ký số trở thành một trong các dịch vụ tin cậy, Việt Nam sẽ có thêm các dịch vụ tin cậy khác dựa trên nền tảng PKI. Luật cũng giao Bộ Thông tin và Truyền thông hướng dẫn chi tiết việc công nhận các tổ chức cung cấp dịch vụ chữ ký điện tử nước ngoài tại Việt Nam, công nhận chữ ký điện tử và chứng thư chữ ký điện tử nước ngoài tại Việt Nam ngay khi Luật có hiệu lực. Song song với việc xây dựng các quy định, chính sách hướng dẫn Luật thì Hệ thống G3 cũng cần đảm bảo các điều kiện để tiếp tục duy trì chứng nhận quốc tế WebTrust. Do đó, năm 2024, NEAC khởi động lại hoạt động đăng ký chứng nhận quốc tế WebTrust cho G3.
Trong chuỗi hoạt động phục vụ việc đăng ký chứng nhận WebTrust cho G3, từ ngày 11 đến ngày 15/3/2024, NEAC đã làm việc với các đối tác, chuyên gia tư vấn kiểm toán quốc tế có kinh nghiệm để tư vấn, hỗ trợ rà soát, đánh giá lại hệ thống và các chính sách liên quan đến hệ thống G3.
NEAC làm việc với các chuyên gia kiểm toán kỹ thuật
Đồng thời, theo chính sách CPA, trong thời gian chuẩn bị hồ sơ đăng ký chứng nhận WebTrust mới, NEAC đã tiến hành gỡ nhãn chứng nhận WebTrust trên trang thông tin điện tử https://rootca.gov.vn do trên thực tế chứng nhận này đã hết hiệu lực. Việc gỡ nhãn chứng nhận này không làm ảnh hưởng đến hoạt động của các hệ thống Root CA cũng như hoạt động cung cấp dịch vụ của các CA công cộng trong nước (chứng thư số của các CA công cộng trong nước chưa được cấp từ G3 do các CA công cộng Việt Nam chưa triển khai kiểm toán kỹ thuật theo tiêu chuẩn Webtrust).
Bên cạnh việc nâng cao sự tin cậy của RootCA Việt Nam với cộng đồng PKI quốc tế, NEAC khuyến khích các CA công cộng đẩy mạnh các hoạt động rà soát, đánh giá và cải thiện hệ thống, tối ưu hóa các chính sách quản trị, vận hành và cung cấp dịch vụ theo các tiêu chuẩn quốc tế. Đây là điều kiện bắt buộc để được cấp chứng thư số từ G3 và công nhận quốc tế.
Trong thời gian tới, dựa trên các nội dung tư vấn của chuyên gia kiểm toán quốc tế, NEAC sẽ tăng cường trao đổi, chia sẻ, tổ chức các hội nghị, hội thảo, tập huấn các kinh nghiệm kiểm toán kỹ thuật hệ thống cung cấp dịch vụ chứng thực chữ ký số nói riêng và các dịch vụ tin cậy nói chung cho các CA công cộng trong nước, góp phần nâng cao năng lực quản trị, vận hành cũng như nâng cao chất lượng cung cấp dịch vụ không chỉ dừng lại ở tuân thủ quy định trong nước mà còn đáp ứng các tiêu chuẩn quốc tế./.
(NEAC)