Chữ ký điện tử chuyên dùng phải đáp ứng đủ yêu cầu gì từ 01/7/2024?

1. Yêu cầu về xác nhận chủ thể ký và khẳng định sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu

Theo khoản 2 Điều 22 Luật Giao dịch điện tử 2023 (chưa có hiệu lực), chữ ký điện tử chuyên dùng phải đáp ứng đầy đủ các yêu cầu sau:

- Xác nhận chủ thể ký và khẳng định sự chấp thuận của chủ thể ký đối với thông điệp dữ liệu:

+ Chữ ký điện tử phải gắn liền với chủ thể ký, giúp xác định rõ ràng danh tính của người ký.

+ Chữ ký điện tử phải thể hiện sự đồng ý của chủ thể ký với nội dung thông điệp dữ liệu được ký.

- Bảo đảm tính toàn vẹn của thông điệp dữ liệu:

+ Chữ ký điện tử phải bảo đảm rằng thông điệp dữ liệu không bị thay đổi trái phép sau khi đã được ký.

+ Bất kỳ thay đổi nào đối với thông điệp dữ liệu đều phải dẫn đến việc chữ ký điện tử bị hỏng hoặc không còn hiệu lực.

- Không thể chối bỏ được:

+ Chủ thể ký không thể chối bỏ việc đã ký đối với thông điệp dữ liệu được ký bằng chữ ký điện tử.

+ Bằng chứng về việc ký thông điệp dữ liệu bằng chữ ký điện tử phải được lưu giữ và bảo quản an toàn.

- Ngoài ra, chữ ký điện tử chuyên dùng còn phải đáp ứng các yêu cầu khác theo quy định của pháp luật, bao gồm:

+ Sử dụng thuật toán tạo chữ ký điện tử có độ bảo mật cao, được cơ quan nhà nước có thẩm quyền công nhận.

+ Phương tiện tạo chữ ký điện tử phải được bảo đảm an toàn, chống giả mạo và xâm nhập trái phép.

+ Chủ thể cấp chứng nhận chữ ký điện tử phải đáp ứng các điều kiện về năng lực, uy tín và bảo mật theo quy định của pháp luật.

- Lưu ý:

+ Chữ ký điện tử chuyên dùng được sử dụng trong phạm vi hoạt động của cơ quan, tổ chức được cấp chứng nhận chữ ký điện tử chuyên dùng.

+ Việc sử dụng chữ ký điện tử chuyên dùng phải tuân thủ các quy định của pháp luật về giao dịch điện tử và an ninh mạng.

2. Yêu cầu về dữ liệu tạo chữ ký điện tử chuyên dùng chỉ gắn duy nhất với nội dung của thông điệp dữ liệu được chấp thuận

Theo khoản 2 Điều 22 Luật Giao dịch điện tử 2023, dữ liệu tạo chữ ký điện tử chuyên dùng phải đáp ứng các yêu cầu sau:

- Chỉ gắn duy nhất với nội dung của thông điệp dữ liệu được chấp thuận:

+ Dữ liệu tạo chữ ký điện tử phải được tạo ra dựa trên nội dung cụ thể của thông điệp dữ liệu mà chủ thể ký muốn ký.

+ Không thể sử dụng cùng một dữ liệu tạo chữ ký điện tử cho nhiều thông điệp dữ liệu khác nhau.

+ Việc liên kết dữ liệu tạo chữ ký điện tử với nội dung thông điệp dữ liệu giúp đảm bảo tính toàn vẹn và tính xác thực của chữ ký điện tử.

- Thuộc sự kiểm soát của chủ thể ký tại thời điểm ký:

+ Chủ thể ký phải có quyền sở hữu và kiểm soát hoàn toàn đối với dữ liệu tạo chữ ký điện tử tại thời điểm ký.

+ Dữ liệu tạo chữ ký điện tử phải được bảo mật và lưu trữ an toàn để tránh bị giả mạo hoặc sao chép trái phép.

+ Việc chủ thể ký kiểm soát dữ liệu tạo chữ ký điện tử giúp đảm bảo tính không thể chối bỏ của chữ ký điện tử.

- Ngoài ra, dữ liệu tạo chữ ký điện tử chuyên dùng còn phải đáp ứng các yêu cầu khác theo quy định của pháp luật, bao gồm:

+ Sử dụng các thuật toán tạo chữ ký điện tử có độ bảo mật cao, được cơ quan nhà nước có thẩm quyền công nhận.

+ Dữ liệu tạo chữ ký điện tử phải được lưu trữ và bảo quản theo quy định về an ninh mạng.

+ Việc quản lý dữ liệu tạo chữ ký điện tử phải được thực hiện theo quy trình chặt chẽ, đảm bảo tính bảo mật và an toàn.

- Lưu ý:

+ Dữ liệu tạo chữ ký điện tử chuyên dùng là một phần quan trọng của hệ thống chữ ký điện tử, đóng vai trò tạo ra chữ ký điện tử có giá trị pháp lý.

+ Việc đảm bảo an toàn cho dữ liệu tạo chữ ký điện tử là rất quan trọng để bảo vệ tính bảo mật và tin cậy của chữ ký điện tử.

3. Yêu cầu về dữ liệu tạo chữ ký điện tử chuyên dùng chỉ thuộc sự kiểm soát của chủ thể ký tại thời điểm ký

Theo quy định tại khoản 2 Điều 22 Luật Giao dịch điện tử 2023, dữ liệu tạo chữ ký điện tử chuyên dùng (CKĐTCD) phải chỉ thuộc sự kiểm soát của chủ thể ký tại thời điểm ký. Điều này đảm bảo tính an toàn và tin cậy cho CKĐTCD, góp phần bảo vệ quyền lợi của các bên tham gia giao dịch điện tử.

- Yêu cầu này bao gồm:

+ Chủ thể ký phải có quyền sở hữu và kiểm soát hoàn toàn đối với dữ liệu tạo CKĐTCD tại thời điểm thực hiện ký.

+ Dữ liệu tạo CKĐTCD phải được lưu trữ an toàn và bảo mật để tránh bị sao chép, giả mạo trái phép.

+ Việc quản lý và sử dụng dữ liệu tạo CKĐTCD phải tuân thủ các quy định về an ninh mạng và bảo vệ thông tin cá nhân.

- Để đảm bảo yêu cầu này, chủ thể ký cần:

+ Sử dụng các thiết bị tạo CKĐTCD được cấp bởi nhà cung cấp dịch vụ uy tín và có các biện pháp bảo mật phù hợp.

+ Bảo mật mật khẩu và các thông tin liên quan đến việc sử dụng CKĐTCD.

+ Cập nhật phần mềm và các bản vá lỗi bảo mật thường xuyên cho thiết bị tạo CKĐTCD.

+ Tránh chia sẻ dữ liệu tạo CKĐTCD với bất kỳ ai khác.

- Việc không tuân thủ quy định về kiểm soát dữ liệu tạo CKĐTCD có thể dẫn đến những hậu quả nghiêm trọng như:

+ Chữ ký điện tử bị giả mạo, dẫn đến việc ký kết các giao dịch trái phép.

+ Thông tin cá nhân của chủ thể ký bị lộ lọt, gây ảnh hưởng đến quyền lợi và uy tín của họ.

+ Gây thiệt hại về tài chính cho các bên tham gia giao dịch điện tử.

Do đó, chủ thể ký cần nâng cao ý thức về trách nhiệm bảo mật dữ liệu tạo CKĐTCD để đảm bảo an toàn cho các giao dịch điện tử của mình.

4. Yêu cầu về hiệu lực của chữ ký điện tử chuyên dùng có thể được kiểm tra theo điều kiện do các bên tham gia thỏa thuận

Theo khoản 2 Điều 22 Luật Giao dịch điện tử 2023, hiệu lực của chữ ký điện tử chuyên dùng (CKĐTCD) có thể được kiểm tra theo điều kiện do các bên tham gia thỏa thuận. Điều này thể hiện tính linh hoạt trong việc xác định phương thức kiểm tra tính pháp lý của CKĐTCD, phù hợp với nhu cầu và mục đích sử dụng của các bên.

- Tuy nhiên, để đảm bảo tính an toàn và tin cậy, việc kiểm tra hiệu lực CKĐTCD cần đáp ứng một số yêu cầu cơ bản sau:

+ Phương thức kiểm tra phải được quy định rõ ràng và cụ thể trong thỏa thuận giữa các bên tham gia.

+ Phương thức kiểm tra phải có khả năng xác định chính xác tính pháp lý của CKĐTCD, bao gồm việc xác minh danh tính chủ thể ký, tính toàn vẹn của thông điệp dữ liệu và thời điểm ký.

+ Phương thức kiểm tra phải có tính bảo mật cao, đảm bảo tính bảo mật cho thông tin của các bên tham gia.

- Một số phương thức kiểm tra hiệu lực CKĐTCD phổ biến hiện nay bao gồm:

+ Sử dụng chứng thư số: Chứng thư số là một loại chữ ký điện tử được cấp bởi nhà cung cấp dịch vụ tin cậy, giúp xác minh danh tính của chủ thể ký. Việc kiểm tra hiệu lực CKĐTCD có thể được thực hiện bằng cách kiểm tra tính hợp lệ của chứng thư số.

+ Sử dụng dấu thời gian: Dấu thời gian là một bằng chứng điện tử xác định thời điểm ký CKĐTCD. Việc kiểm tra hiệu lực CKĐTCD có thể được thực hiện bằng cách kiểm tra tính hợp lệ của dấu thời gian.

+ Sử dụng các biện pháp bảo mật khác: Ví dụ như sử dụng mã xác thực, mật khẩu sử dụng một lần (OTP), v.v.

- Việc lựa chọn phương thức kiểm tra hiệu lực CKĐTCD phù hợp phụ thuộc vào nhiều yếu tố như:

+ Mức độ bảo mật cần thiết cho giao dịch.

+ Giá thành của phương thức kiểm tra.

+ Tính tiện lợi và dễ sử dụng của phương thức kiểm tra.

- Lưu ý:

+ Việc không kiểm tra hiệu lực CKĐTCD có thể dẫn đến những rủi ro như: Chữ ký điện tử bị giả mạo; Thông tin giao dịch bị thay đổi trái phép; Gây thiệt hại về tài chính cho các bên tham gia.

+ Do đó, các bên tham gia giao dịch điện tử cần lưu ý lựa chọn phương thức kiểm tra hiệu lực CKĐTCD phù hợp để đảm bảo an toàn cho giao dịch.

Ngoài ra, có thể tham khảo: Chữ ký điện tử có thay thế con dấu của cơ quan, tổ chức không. Còn khúc mắc, liên hệ 1900.6162 hoặc gửi email tới: lienhe@luatminhkhue.vn để được hỗ trợ. Xin cảm ơn.