Mục 1 Chương 3 Nghị định 23/2025/NĐ-CP quy định về chữ ký điện tử và dịch vụ tin cậy

a) Ký quỹ tại một ngân hàng thương mại tại Việt Nam áp dụng cho một hoặc các dịch vụ tin cậy. Mức ký quỹ là 10 tỷ đồng Việt Nam cho mỗi 300 nghìn thuê bao và không thấp hơn 10 tỷ đồng Việt Nam, với điều kiện doanh nghiệp không được thu tiền trả trước quá 01 năm từ thuê bao;

b) Mua bảo hiểm trách nhiệm, thiệt hại đối với hoạt động cung cấp dịch vụ tin cậy để bảo đảm quyền lợi của thuê bao trong suốt thời gian cung cấp dịch vụ.

a) Nhân lực về vận hành hệ thống gồm: quản trị, vận hành, an toàn, an ninh thông tin, kiểm soát quyền ra vào, giám sát và kiểm tra, quản lý vòng đời chứng thư chữ ký số, quản lý vòng đời khóa;

b) Nhân lực cung cấp dịch vụ gồm: kiểm toán kỹ thuật, bảo mật, cấp, tạm dừng, huỷ, cài đặt và bảo hành; xác minh danh tính thuê bao (đối với dịch vụ chứng thực chữ ký số công cộng và dịch vụ chứng thực thông điệp dữ liệu);

c) Nhân lực chịu trách nhiệm về an toàn, an ninh thông tin, bảo mật có trình độ từ đại học trở lên về an toàn thông tin và có kinh nghiệm tối thiểu 02 năm tương ứng với ngành được đào tạo;

d) Nhân lực chịu trách nhiệm về quản trị, vận hành, kiểm toán kỹ thuật, cấp, tạm dừng, huỷ, cài đặt và bảo hành, giám sát và kiểm tra, quản lý vòng đời khóa có trình độ từ đại học trở lên về công nghệ thông tin hoặc gần đào tạo về công nghệ thông tin và có kinh nghiệm tối thiểu 02 năm tương ứng với ngành được đào tạo.

a) Tuân thủ tiêu chuẩn, quy chuẩn kỹ thuật, yêu cầu kỹ thuật về chữ ký số, chứng thư chữ ký số; dịch vụ tin cậy; an toàn thông tin mạng; an ninh mạng;

b) Lưu trữ đầy đủ, chính xác và cập nhật thông tin thuê bao; cập nhật danh sách các chứng thư chữ ký số có hiệu lực, bị tạm dừng, bị thu hồi; thuê bao có thể truy cập, sử dụng Internet truy nhập trực tuyến 24 giờ trong ngày và 07 ngày trong tuần;

c) Bảo đảm mỗi cặp khóa được tạo ra ngẫu nhiên và đúng một lần duy nhất; có tính năng bảo đảm khóa bí mật không bị phát hiện khi có khóa công khai tương ứng;

d) Cảnh báo, ngăn chặn và phát hiện truy nhập bất hợp pháp trên môi trường điện tử;

đ) Thành phần quản lý vòng đời chứng thư chữ ký số được thiết kế theo xu hướng giảm thiểu tối đa sự tiếp xúc trực tiếp với môi trường điện tử và độc lập với các hệ thống không phục vụ cho dịch vụ tin cậy;

e) Hệ thống thông tin phải bảo đảm an toàn thông tin mạng tối thiểu cấp độ 3 và bảo vệ dữ liệu cá nhân theo quy định của pháp luật về an toàn thông tin mạng và an ninh mạng;

g) Kiểm soát sự ra vào, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị;

h) Dự phòng bảo đảm duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra, các quy trình thực hiện sao lưu dữ liệu, sao lưu trực tuyến dữ liệu, khôi phục dữ liệu, có khả năng phục hồi dữ liệu chậm nhất là 08 giờ làm việc kể từ thời điểm hệ thống gặp sự cố; trung tâm dự phòng cách xa trung tâm dữ liệu chính tối thiểu 20 kilomet và sẵn sàng hoạt động khi hệ thống chính gặp sự cố;

i) Hệ thống thông tin cung cấp dịch vụ đặt tại Việt Nam;

k) Quy chế chứng thực theo quy định tại Điều 29 của Nghị định này.

a) Hệ thống phân phối khóa cho thuê bao phải bảo đảm sự toàn vẹn và bảo mật của cặp khóa. Trong trường hợp phân phối khóa thông qua môi trường mạng máy tính thì hệ thống phân phối khóa phải sử dụng các giao thức bảo mật bảo đảm không lộ thông tin trên đường truyền;

b) Giải pháp cung cấp thông tin (chứng thư chữ ký số, báo cáo định kỳ và đột xuất theo quy định) bằng phương tiện điện tử cho tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước.

a) Nguồn thời gian theo quy định của pháp luật về nguồn thời gian chuẩn quốc gia;

b) Giải pháp cung cấp thông tin (mã bảo đảm toàn vẹn thông điệp dữ liệu, sự kiện giao dịch (event log), báo cáo định kỳ và đột xuất theo quy định) bằng phương tiện điện tử cho tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia, phục vụ công tác quản lý nhà nước.

a) Đơn đề nghị cấp giấy phép kinh doanh dịch vụ tin cậy theo Mẫu số 04 tại Phụ lục ban hành kèm theo Nghị định này, trong đó nêu rõ loại hình dịch vụ tin cậy sẽ kinh doanh;

b) Bản sao hợp lệ bao gồm bản sao được cấp từ sổ gốc hoặc bản sao có chứng thực hoặc bản sao đối chiếu với bản chính của một trong các giấy tờ sau: giấy chứng nhận đăng ký doanh nghiệp, giấy chứng nhận đăng ký đầu tư đối với nhà đầu tư nước ngoài, quyết định thành lập hoặc giấy chứng nhận, giấy phép tương đương hợp lệ khác theo quy định của pháp luật về đầu tư và pháp luật về doanh nghiệp;

c) Văn bản chứng minh đáp ứng được các điều kiện về tài chính quy định khoản 1 Điều 18 của Nghị định này;

d) Hồ sơ nhân lực quản lý và kỹ thuật gồm: lý lịch tư pháp, bản sao có chứng thực bằng đại học trở lên của đội ngũ nhân lực quản lý và kỹ thuật theo quy định tại khoản 2 Điều 18 của Nghị định này, bản mô tả về công việc và kinh nghiệm đã có tương ứng với vị trí nhân lực quản lý và kỹ thuật, hợp đồng lao động và quyết định phân công;

đ) Phương án kỹ thuật phục vụ hoạt động cung cấp dịch vụ phù hợp với từng loại dịch vụ tin cậy nhằm bảo đảm quy định tại các khoản 3, 4 và 5 Điều 18 của Nghị định này;

e) Quy chế chứng thực theo quy định tại Điều 29 của Nghị định này.

a) Đơn đề nghị cấp lại giấy phép do giấy phép cũ hết hạn theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này;

b) Văn bản chứng minh đáp ứng được các điều kiện về tài chính quy định tại khoản 1 Điều 18 của Nghị định này;

c) Những thông tin về việc thay đổi của doanh nghiệp liên quan đến điều kiện kinh doanh theo quy định tại Điều 29 Luật Giao dịch điện tử (nếu có);

d) Báo cáo tình hình thực hiện giấy phép kể từ ngày được cấp tới ngày đề nghị cấp lại theo Mẫu số 08 tại Phụ lục ban hành kèm theo Nghị định này.

a) Đơn đề nghị thay đổi nội dung giấy phép theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này;

b) Báo cáo mô tả chi tiết nội dung đề nghị thay đổi và các tài liệu liên quan.

a) Đơn đề nghị gia hạn giấy phép kinh doanh dịch vụ tin cậy của doanh nghiệp do giấy phép cũ hết hạn theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này;

b) Văn bản chứng minh đáp ứng được các điều kiện về tài chính quy định tại khoản 1 Điều 18 của Nghị định này;

c) Báo cáo tình hình thực hiện giấy phép kể từ ngày được cấp tới ngày đề nghị gia hạn theo Mẫu số 08 tại Phụ lục ban hành kèm theo Nghị định này.

a) Hồ sơ được lập theo đúng quy định tại khoản 1 Điều này;

b) Hồ sơ phải được làm bằng tiếng Việt. Hồ sơ phải có đủ dấu xác nhận của cơ quan, tổ chức, dấu chứng thực bản sao; các tài liệu bản in do cơ quan, tổ chức lập có từ 02 tờ văn bản trở lên thì phải đóng dấu giáp lai.

a) Trường hợp chưa hợp lệ, Bộ Thông tin và Truyền thông gửi thông báo và nêu rõ lý do;

b) Trường hợp hồ sơ hợp lệ Bộ Thông tin và Truyền thông xem xét, giải quyết theo quy định tại Điều 21 của Nghị định này.

a) Trong thời hạn 07 ngày làm việc, kể từ ngày nhận được hồ sơ hợp lệ, Bộ Thông tin và Truyền thông đề nghị phối hợp thẩm tra hồ sơ của Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan. Trong thời gian 20 ngày kể từ ngày nhận được đề nghị phối hợp thẩm tra hồ sơ, Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan có trách nhiệm trả lời bằng văn bản;

b) Trong thời hạn 20 ngày kể từ ngày nhận được đầy đủ ý kiến phối hợp thẩm tra quy định tại điểm a khoản này, Bộ Thông tin và Truyền thông thẩm tra và cấp giấy phép theo Mẫu số 06 tại Phụ lục ban hành kèm theo Nghị định này. Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do;

c) Trong vòng 01 năm kể từ khi được cấp phép, tổ chức cung cấp dịch vụ tin cậy phải triển khai trên thực tế các điều kiện quy định tại Điều 18 của Nghị định này; báo cáo triển khai hoạt động cung cấp dịch vụ tin cậy theo Mẫu số 07 tại Phụ lục ban hành kèm theo Nghị định này;

d) Chứng thư chữ ký số được cấp, cấp lại cho tổ chức cung cấp dịch vụ tin cậy trong vòng 30 ngày kể từ ngày nhận được báo cáo quy định tại điểm c khoản này và dựa trên đánh giá thực tế về quy trình vận hành hệ thống và quy chế chứng thực; sự phù hợp của hệ thống thông tin cung cấp dịch vụ tin cậy với hồ sơ cấp giấy phép và chứng kiến việc tạo cặp khóa (khóa bí mật và khóa công khai) của tổ chức cung cấp dịch vụ tin cậy. Trường hợp từ chối, tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia phải thông báo bằng văn bản và nêu rõ lý do.

a) Trường hợp mong muốn tiếp tục cung cấp dịch vụ, doanh nghiệp phải đề nghị cấp lại giấy phép tối thiểu 90 ngày trước ngày giấy phép hết hạn;

b) Trong thời hạn 10 ngày kể từ ngày nhận được hồ sơ hợp lệ, Bộ Thông tin và Truyền thông đề nghị phối hợp thẩm tra hồ sơ với Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan. Trong thời gian 20 ngày kể từ ngày nhận được đề nghị phối hợp thẩm tra hồ sơ, Bộ Công an, Ban Cơ yếu Chính phủ và cơ quan, tổ chức có liên quan có trách nhiệm trả lời bằng văn bản;

c) Trong thời hạn 15 ngày kể từ ngày nhận được đầy đủ ý kiến phối hợp thẩm tra quy định tại điểm a khoản này, Bộ Thông tin và Truyền thông thẩm tra hồ sơ, và cấp lại giấy phép dựa trên việc đáp ứng điều kiện kinh doanh theo quy định tại Điều 18 của Nghị định này và đánh giá thực tế kết quả hoạt động kinh doanh dịch vụ tin cậy. Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do.

a) Trường hợp có thay đổi một trong các thông tin về địa chỉ trụ sở, tên giao dịch, doanh nghiệp phải đề nghị thay đổi nội dung giấy phép;

b) Trong thời hạn 07 ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ, Bộ Thông tin và Truyền thông thẩm tra, cấp giấy phép cho doanh nghiệp với các nội dung thay đổi. Trường hợp từ chối cấp, Bộ Thông tin và Truyền thông thông báo bằng văn bản và nêu rõ lý do. Thời hạn của giấy phép thay đổi là thời hạn còn lại của giấy phép đã được cấp.

a) Trường hợp giấy phép kinh doanh dịch vụ tin cậy còn ít nhất 60 ngày trước ngày giấy phép hết hạn nhưng đang trong quá trình chia, tách, hợp nhất, sáp nhập và không bị xử lý vi phạm hành chính trong hoạt động kinh doanh dịch vụ tin cậy trong thời hạn 12 tháng tính đến thời điểm nộp hồ sơ đề nghị gia hạn, doanh nghiệp muốn gia hạn giấy phép kinh doanh dịch vụ tin cậy phải gửi đề nghị gia hạn;

b) Trong thời hạn 30 ngày kể từ ngày nhận đủ hồ sơ hợp lệ, Bộ Thông tin và Truyền thông cấp giấy phép gia hạn theo Mẫu số 06 tại Phụ lục ban hành kèm theo Nghị định này. Trường hợp từ chối, Bộ Thông tin và Truyền thông thông báo bằng văn bản và nêu rõ lý do. Thời hạn của giấy phép gia hạn không quá 01 năm kể từ ngày giấy phép hết hạn.

a) Cung cấp dịch vụ sai với nội dung ghi trên giấy phép;

b) Không đáp ứng được một trong các điều kiện kinh doanh quy định tại Điều 18 của Nghị định này kể từ thời điểm bắt đầu cung cấp dịch vụ;

c) Không thực hiện đúng, đủ trách nhiệm kê khai, nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số theo quy định của pháp luật về phí và lệ phí quá 06 tháng.

a) Bộ Thông tin và Truyền thông tổ chức làm việc và lập biên bản làm việc với tổ chức cung cấp dịch vụ tin cậy thuộc một trong các trường hợp quy định tại khoản 1 Điều này. Trong vòng 07 ngày làm việc kể từ ngày phát hành biên bản, Bộ Thông tin và Truyền thông xem xét, ban hành quyết định tạm đình chỉ;

b) Trong thời hạn 05 ngày làm việc, tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia tạm dừng chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy và công bố trên trang thông tin điện tử (https://rootca.gov.vn/) trong trường hợp giấy phép kinh doanh dịch vụ tin cậy bị tạm đình chỉ hoặc hệ thống thông tin cung cấp dịch vụ tin cậy không đáp ứng các quy định về kiểm toán kỹ thuật.

a) Không muốn tiếp tục cung cấp dịch vụ;

b) Giải thể, chấm dứt hoạt động;

c) Bị Tòa án ra quyết định tuyên bố phá sản;

d) Bị sáp nhập, hợp nhất;

đ) Trong vòng 01 năm kể từ khi được cấp phép, tổ chức cung cấp dịch vụ tin cậy không triển khai trên thực tế các điều kiện quy định tại Điều 18 của Nghị định này, trừ sự kiện bất khả kháng hoặc trở ngại khách quan theo quy định của pháp luật mà tổ chức cung cấp dịch vụ tin cậy đã có báo cáo bằng văn bản tới Bộ Thông tin và Truyền thông;

e) Có hành vi giả mạo các văn bản trong hồ sơ đề nghị cấp, gia hạn, cấp lại giấy phép hoặc tẩy xóa, sửa chữa nội dung giấy phép đã được cấp;

g) Không khắc phục lý do bị tạm đình chỉ quy định tại khoản 1 Điều 22 của Nghị định này sau thời hạn tạm đình chỉ ấn định của cơ quan có thẩm quyền;

h) Thực hiện các hành vi bị nghiêm cấm theo quy định tại Điều 6 Luật Giao dịch điện tử.

a) Bộ Thông tin và Truyền thông tổ chức làm việc và lập biên bản làm việc với tổ chức cung cấp dịch vụ tin cậy thuộc một trong các trường hợp quy định tại khoản 1 Điều này. Trong vòng 30 ngày kể từ ngày phát hành biên bản, Bộ Thông tin và Truyền thông xem xét, ra quyết định thu hồi, đồng thời yêu cầu tổ chức cung cấp dịch vụ tin cậy: dừng ngay việc giao kết hợp đồng kinh doanh dịch vụ tin cậy; thực hiện bàn giao với tổ chức cung cấp dịch vụ tin cậy khác theo thỏa thuận hoặc theo chỉ định của Bộ Thông tin và Truyền thông hồ sơ, cơ sở dữ liệu sau có liên quan đến hoạt động cung cấp dịch vụ:

Đối với dịch vụ chứng thực chữ ký số công cộng: thông tin thuê bao, hồ sơ thuê bao, dữ liệu chứng thư chữ ký số (danh sách công bố chứng thư chữ ký số, toàn bộ danh sách thu hồi chứng thư chữ ký số trong thời gian cung cấp dịch vụ);

Đối với dịch vụ chứng thực thông điệp dữ liệu: thông tin thuê bao, hồ sơ thuê bao, thông tin xác nhận người nhận, người gửi (dựa trên thông tin thuê bao đăng ký); thông tin về thời gian gửi, nhận thông điệp dữ liệu; thông điệp dữ liệu; mã bảo đảm toàn vẹn thông điệp dữ liệu;

Đối với dịch vụ cấp dấu thời gian: thông tin thuê bao, hồ sơ thuê bao, mã bảo đảm toàn vẹn thông điệp dữ liệu để phục vụ việc xác nhận.

b) Trong thời hạn 05 ngày làm việc, tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia thu hồi chứng thư chữ ký số của tổ chức cung cấp dịch vụ tin cậy và công bố trên trang thông tin điện tử (https://rootca.gov.vn/) thuộc một trong các trường hợp: giấy phép kinh doanh dịch vụ tin cậy bị thu hồi; chứng thư chữ ký số hết hạn sử dụng; yêu cầu bằng văn bản từ cơ quan có thẩm quyền; yêu cầu bằng văn bản của tổ chức cung cấp dịch vụ tin cậy trong đó nêu rõ lý do thu hồi.