Theo Nghị định, doanh nghiệp được quyền đăng ký một hoặc các
dịch vụ tin cậy. Khi đăng ký bất kỳ dịch vụ tin cậy, doanh nghiệp phải đáp ứng
đủ các điều kiện quy định tại khoản 1 Điều 29 Luật Giao dịch điện tử. Trong đó,
các điều kiện tại điểm b, d, đ khoản 1 Điều 29 Luật Giao dịch điện tử được quy
định chi tiết như sau:
Về điều kiện tài chính để giải quyết rủi ro và các khoản đền
bù có thể xảy ra trong quá trình cung cấp dịch vụ và thanh toán chi phí tiếp
nhận, duy trì cơ sở dữ liệu thông tin liên quan đến hoạt động cung cấp dịch vụ,
doanh nghiệp được lựa chọn thực hiện một trong các hình thức sau:
1- Ký quỹ tại một ngân hàng thương mại tại Việt Nam áp dụng
cho một hoặc các dịch vụ tin cậy. Mức ký quỹ là 10 tỷ đồng Việt Nam cho mỗi 300
nghìn thuê bao và không thấp hơn 10 tỷ đồng Việt Nam, với điều kiện doanh
nghiệp không được thu tiền trả trước quá 01 năm từ thuê bao.
2- Mua bảo hiếm trách nhiệm, thiệt hại đối với hoạt động
cung cấp dịch vụ tin cậy để bảo đảm quyền lợi của thuê bao trong suốt thời gian
cung cấp dịch vụ.
Điều kiện nhân lực quản lý và kỹ thuật
Nhân lực về vận hành hệ thống gồm: Quản trị, vận hành, an
toàn, an ninh thông tin, kiểm soát quyền ra vào, giám sát và kiểm tra, quản lý
vòng đời chứng thư chữ ký số, quản lý vòng đời khóa.
Nhân lực cung cấp dịch vụ gồm: Kiểm toán kỹ thuật, bảo mật,
cấp, tạm dừng, huỷ, cài đặt và bảo hành; xác minh danh tính thuê bao (đối với
dịch vụ chứng thực chữ ký số công cộng và dịch vụ chứng thực thông điệp dữ
liệu).
Nhân lực chịu trách nhiệm về an toàn, an ninh thông tin, bảo
mật có trình độ từ đại học trở lên về an toàn thông tin và có kinh nghiệm tối
thiểu 02 năm tương ứng với ngành được đào tạo.
Nhân lực chịu trách nhiệm về quản trị, vận hành, kiểm toán
kỹ thuật, cấp, tạm dừng, huỷ, cài đặt và bảo hành, giám sát và kiểm tra, quản
lý vòng đời khóa có trình độ từ đại học trở lên về công nghệ thông tin hoặc gần
đào tạo về công nghệ thông tin và có kinh nghiệm tối thiểu 02 năm tương ứng với
ngành được đào tạo.
Phương án kỹ thuật phục vụ hoạt động cung cấp dịch vụ
Theo Nghị định, phương án kỹ thuật phục vụ hoạt động cung
cấp dịch vụ áp dụng chung cho các loại dịch vụ tin cậy, phải thể hiện các nội
dung sau: (*)
Tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật, yêu cầu kỹ thuật về
chữ ký số, chứng thư chữ ký số; dịch vụ tin cậy; an toàn thông tin mạng; an
ninh mạng.
Lưu trữ đầy đủ, chính xác và cập nhật thông tin thuê bao;
cập nhật danh sách các chứng thư chữ ký số có hiệu lực, bị tạm dừng, bị thu
hồi; thuê bao có thể truy cập, sử dụng Internet truy nhập trực tuyến 24 giờ
trong ngày và 07 ngày trong tuần.
Bảo đảm mỗi cặp khóa được tạo ra ngẫu nhiên và đúng một lần
duy nhất; có tính năng bảo đảm khóa bí mật không bị phát hiện khi có khóa công
khai tương ứng.
Cảnh báo, ngăn chặn và phát hiện truy nhập bất hợp pháp trên
môi trường điện tử.
Thành phần quản lý vòng đời chứng thư chữ ký số được thiết
kế theo xu hướng giảm thiểu tối đa sự tiếp xúc trực tiếp với môi trường điện tử
và độc lập với các hệ thống không phục vụ cho dịch vụ tin cậy.
Hệ thống thông tin phải bảo đảm an toàn thông tin mạng tối
thiểu cấp độ 3 và bảo vệ dữ liệu cá nhân theo quy định của pháp luật về an toàn
thông tin mạng và an ninh mạng.
Kiểm soát sự ra vào, quyền truy nhập hệ thống, quyền ra vào
nơi đặt thiết bị.
Dự phòng bảo đảm duy trì hoạt động an toàn, liên tục và khắc
phục khi có sự cố xảy ra, các quy trình thực hiện sao lưu dữ liệu, sao lưu trực
tuyến dữ liệu, khôi phục dữ liệu, có khả năng phục hồi dữ liệu chậm nhất là 08
giờ làm việc kể từ thời điểm hệ thống gặp sự cố; trung tâm dự phòng cách xa
trung tâm dữ liệu chính tối thiểu 20 km và sẵn sàng hoạt động khi hệ thống
chính gặp sự cố.
Hệ thống thông tin cung cấp dịch vụ đặt tại Việt Nam.
Đối với dịch vụ chứng thực chữ ký số công cộng, phương án kỹ
thuật phải đáp ứng quy định (*) nêu trên và bổ sung các nội dung sau:
Hệ thống phân phối khóa cho thuê bao phải bảo đảm sự toàn
vẹn và bảo mật của cặp khóa. Trong trường hợp phân phối khóa thông qua môi
trường mạng máy tính thì hệ thống phân phối khóa phải sử dụng các giao thức bảo
mật bảo đảm không lộ thông tin trên đường truyền.
Giải pháp cung cấp thông tin (chứng thư chữ ký số, báo cáo
định kỳ và đột xuất theo quy định) bằng phương tiện điện tử cho tổ chức cung
cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước.
Đối với dịch vụ dấu thời gian và dịch vụ chứng thực thông
điệp dữ liệu, phương án kỹ thuật phải đáp ứng quy định (*) nêu trên và bổ sung
các nội dung sau: Nguồn thời gian theo quy định của pháp luật về nguồn thời
gian chuẩn quốc gia; giải pháp cung cấp thông tin (mã bảo đảm toàn vẹn thông
điệp dữ liệu, sự kiện giao dịch (event log), báo cáo định kỳ và đột xuất theo
quy định) bằng phương tiện điện tử cho tổ chức cung cấp dịch vụ chứng thực điện
tử quốc gia, phục vụ công tác quản lý nhà nước.
