Chứng nhận Nhà cung cấp dịch vụ tin cậy thúc đẩy giao dịch điện tử, thanh toán điện tử xuyên biên giới

Chứng nhận Nhà cung cấp dịch vụ tin cậy (Qualified Trusted Service Provider - QTSP) dành cho những nhà cung cấp dịch vụ đảm bảo theo tiêu chuẩn eIDAS của châu Âu sẽ làm thông suốt tiến trình giao dịch điện tử, thanh toán điện tử, đồng thời giúp các hồ sơ điện tử, chứng từ điện tử tại Việt Nam được công nhận trong thị trường chung châu Âu và các nước trên thế giới, giúp các tổ chức, doanh nghiệp trong nước dễ dàng tiến ra thế giới và rộng cửa cho các tổ chức nước ngoài muốn hợp tác, làm việc tại Việt Nam.

Chứng nhận QTSP là gì?

Được phê chuẩn vào tháng 9/2014, quy định về “Định danh, xác thực điện tử và dịch vụ tin cậy” dành cho thị trường chung châu Âu eIDAS chính thức được công nhận vào tháng 9/2018. Với quy định mới này, cư dân và doanh nghiệp tại châu Âu có thể sử dụng hệ thống định danh cấp quốc gia để xác thực danh tính khi truy cập dịch vụ công hoặc thực hiện các giao dịch điện tử xuyên biên giới. Với eIDAS, các bộ luật chồng chéo của các quốc gia thành viên trong khối EU sẽ được loại bỏ và thay thế bằng một khung pháp lý chung, thống nhất, được công nhận trên các lãnh thổ về tính pháp lý của chữ ký/con dấu điện tử, dấu thời gian điện tử và văn bản điện tử. Các quốc gia trong mạng lưới eIDAS phải công nhận quy trình định danh điện tử cấp quốc gia của nhau từ tháng 8/2019, cho phép định danh liên biên giới mà không gặp bất cứ trở ngại nào về pháp lý. Mô hình quản lý và các dịch vụ ủy thác của eIDAS được thể hiện ở Hình 1, 2.

Trong đó, eIDAS công nhận QTSP là tiêu chuẩn cao nhất về sự an toàn, tin cậy, bảo mật trong giao dịch điện tử. Chỉ các đơn vị đạt chứng nhận QTSP mới được công nhận cung cấp chữ ký điện tử đảm bảo chất lượng, môi trường an toàn chữ ký số cho cá nhân (QES), con dấu điện tử đảm bảo cho tổ chức (QSeal). QES và QSeal có hiệu lực pháp lý cao nhất, tương đương chữ ký tay và con dấu mộc của tổ chức, được công nhận trên toàn lãnh thổ châu Âu và các nước thứ ba được châu Âu cấp phép mà không phải trải qua bất kỳ thủ tục đánh giá hay giải trình nào. (Hình 2)

Giá trị của chứng nhận QTSP

QTSP trở thành một chứng nhận vàng cho năng lực công nghệ, quy trình vận hành và tuân thủ của tổ chức. Bởi để được công nhận đạt chứng nhận QTSP, các tổ chức bắt buộc trải qua các một cơ chế điểm định, đánh giá khắt khe bậc nhất của Cơ quan giám sát quốc gia châu Âu (Supervisory Body - SB). (Hình 3)

Các danh mục quy định cho chứng nhận QTSP là: Tính sẵn sàng của dịch vụ tin cậy, toàn bộ các yêu cầu về cơ sở hạ tầng, chính sách vận hành, quản lý, bảo mật và tiêu chuẩn kỹ thuật được ban hành bởi Viện Viễn thông châu Âu (ETSI) và Viện chuẩn hóa châu Âu (CEN) như CEN EN 419 241-1, CEN EN 419 241-2, CEN EN 419 221-5, ETSI TS 119 431, ETSI TS 119 432... Các danh mục này phải được tuân thủ tuyệt đối. Đồng thời, nhằm duy trì mức độ tín nhiệm, chứng nhận QTSP được yêu cầu thực hiện đánh giá tính tuân thủ bởi các cơ quan kiểm định tuân thủ (Conformity Assessment Body - CAB) của EU ít nhất 2 năm/lần.

Yêu cầu CAB cho các QTSP là đơn vị có kinh nghiệm, chuyên môn, được chỉ định bởi SB hoặc cơ quan kiểm định quốc gia (National Assessment Body - NAB).

QTSP và mô hình ký số từ xa Remote Signing tại Việt Nam

Tại Việt Nam, mô hình ký số từ xa Remote Signing vẫn còn rất mới mẻ và chưa có một tổ chức nào được chính thức cấp phép cung cấp dịch vụ này. Đây là một phương thức ký số có nhiều ưu điểm bởi tính linh hoạt, tiện dụng cho người dùng, tuy nhiên cũng đòi hỏi yêu cầu kỹ thuật, tính cam kết, khả năng đảm bảo an toàn, bảo mật, tin cậy, tuân thủ quy trình và duy trì dịch vụ cao hơn của nhà cung cấp dịch vụ tin cậy. Nếu Remote Signing đi vào hoạt động sẽ giúp nâng cao tiêu chuẩn về ký số, chữ ký số, con dấu điện tử, trở thành bàn đạp quan trọng nhằm phổ biến rộng rãi việc sử dụng chữ ký số trong giao dịch điện tử, số hóa tài liệu tại thị trường Việt Nam nhờ sự tiện lợi, bảo mật vượt trội so với phương thức ký số truyền thống. Khi đó, người dùng có thể ký số mọi lúc, mọi nơi, trên mọi thiết bị mà không phải phụ thuộc khả năng tương thích với các cổng kết nối như USB token hay Smart card. Việc ký số ngay trên điện thoại thông minh hay máy tính bảng đảm bảo an toàn, bảo mật, chữ ký số được chấp nhận trên khắp châu Âu và các nước trên giới sẽ trở thành hiện thực.

Theo eIDAS, chỉ những nhà cung cấp dịch vụ đảm bảo QTSP mới đủ điều kiện để quản lý thiết bị tạo chữ ký số đảm bảo, thay mặt thuê bao đối với mô hình ký số từ xa Remote Signing. Đối chiếu với các quy định pháp luật Việt Nam như Nghị định số 130/2018/NĐ-CP ngày 27/9/2018 của Chính phủ “Quy định chi tiết thi hành luật giao dịch điện tử về chữ ký số và dịch vụ chứng thực chữ ký số” và Thông tư số 16/2019/TT-BTTTT ngày 05/12/2019 của Bộ Thông tin và Truyền thông “Quy định Danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa”, mô hình ký số từ xa Remote Signing được xây dựng theo tiêu chuẩn chứng nhận QTSP phải đáp ứng đầy đủ những tiêu chuẩn kỹ thuật bắt buộc về dịch vụ chứng thực điện tử và chữ ký số, đồng thời vượt trội hơn ở quy trình quản lý, vận hành, an ninh hệ thống nghiêm ngặt bậc nhất thế giới của eIDAS và ISO/IEC 27001. Có thể nói, nếu một tổ chức được công nhận đạt chứng nhận QTSP theo tiêu chuẩn châu Âu sẽ đồng thời tuân thủ mức độ cao hơn các quy định của Việt Nam về mô hình ký số từ xa quy định tại Thông tư 16/2019/TT-BTTTT.

Theo Điều 14 của eIDAS, châu Âu cho phép công nhận tính pháp lý của nhà cung cấp dịch vụ tin cậy ở nước thứ ba ngoài Liên minh tương đương chứng nhận QTSP tại EU nếu thỏa mãn cả hai điều kiện: Thứ nhất, nhà cung cấp dịch vụ tin cậy của nước thứ ba phải đạt chứng nhận QTSP của châu Âu; thứ hai, cơ quan quản lý của nước thứ ba phải ký kết với EU về việc công nhận dịch vụ tin cậy QTSP của EU theo Điều 218 của Hiệp ước về Chức năng Hoạt động của Liên minh châu Âu (TFEU).

Nếu Việt Nam và EU công nhận lẫn nhau về các dịch vụ được cấp chứng nhận QTSP thì đây sẽ là bước tiến lớn đối với khả năng cung cấp dịch vụ ký số, chứng thực điện tử của Việt Nam. Trở thành một tổ chức được cấp chứng nhận QTSP theo chuẩn EU giúp dịch vụ do các đơn vị Việt Nam được chấp nhận rộng rãi không những ở Việt Nam mà cả thị trường EU cho thương mại xuyên biên giới. Đặc biệt với các thị trường có truyền thống khắt khe về định danh, xác thực điện tử (KYC) như tài chính điện tử, ngân hàng số, Ủy ban Liên minh châu Âu (EC) khuyến khích sử dụng cơ chế xác thực tin cậy đảm bảo của QTSP để tuân thủ các tiêu chuẩn xác thực mạnh (SCA) dựa trên nền tảng định danh điện tử eID trên toàn lãnh thổ châu Âu.

QTSP giúp thúc đẩy thương mại điện tử, giải quyết bài toán Open Banking/PSD2, đẩy mạnh thực thi Hiệp định EVFTA

Một trong những bài toán khó giải nhất của nền tài chính - kinh tế số là quy trình định danh xác thực điện tử an toàn trong giao dịch. Trước kia, các ngân hàng tự vận hành hệ thống an ninh thông tin chuyên dùng để các bên tiến hành đăng ký dịch vụ. Tuy nhiên, hệ thống này nhanh chóng bị quá tải khi các bên thứ ba hoặc nhiều cơ quan tài chính thực hiện đăng ký và xác thực lẫn nhau, dẫn đến cơ sở dữ liệu định danh ngày càng phức tạp và khó kiểm soát, không đảm bảo liên thông theo một tiêu chuẩn quốc tế về an ninh vận hành hệ thống. Vấn đề này mâu thuẫn với mục đích mở rộng hệ sinh thái tài chính số của Chỉ thị Thanh toán điện tử (PSD2) được ban hành bởi Cơ quan Quản lý Ngân hàng châu Âu (European Banking Authority - EBA) và mới nhất là các chiến lược ngân hàng mở (Open Banking) của các quốc gia trên thế giới, kìm kẹp sự phát triển của thị trường tài chính nói riêng và lộ trình chuyển đổi kinh tế số, xã hội số nói chung.

Để gỡ rối khó khăn này cho các ngân hàng và tổ chức tài chính, khung tiêu chuẩn kỹ thuật chung (Regulatory Technical Standards - RTS) của PSD2 đã chấp nhận sử dụng chứng thư số, chữ ký điện tử đảm bảo QES và con dấu điện tử đảm bảo QSeal cho quy trình định danh xác thực theo mô hình Open Banking. Điều này mở ra phương thức xác thực tin cậy, hợp pháp, được công nhận rộng rãi cho các ngân hàng và tổ chức tài chính tham gia vào thị trường kinh tế số toàn cầu. Điển hình tại Vương Quốc Anh, Bộ Tài chính nước này đã phê chuẩn quyết định áp dụng Chứng thư số đảm bảo cấp bởi QTSP để ký số, định danh trên môi trường điện tử khi kết nối với các định chế tài chính¹.

Khi không sử dụng dịch vụ định danh xác thực điện tử QTSP, các tổ chức tham gia thị trường tài chính số không thể vượt qua các thủ tục kiểm tra (on-boarding) do các cơ quan quản lý thực hiện. Việc không tuân thủ các tiêu chuẩn dịch vụ định danh, xác thực cấp độ đảm bảo của QTSP sẽ dẫn tới vô số những rủi ro tiềm ẩn cho các tổ chức tham gia nền tài chính kinh tế số, có thể kể đến một số những nguy cơ như sau:

- Nhà cung cấp dịch vụ thanh toán không được công nhận rộng rãi trên toàn thế giới về tính pháp lý của chứng từ điện tử và buộc phải chuẩn bị các hồ sơ pháp lý để giải trình.

- Các bên tham gia giao dịch trên môi trường tài chính số không đáp ứng yêu cầu về an ninh, bảo mật đối với xác thực mạnh theo PSD2, dẫn tới khả năng bị rút giấy phép hoạt động trên môi trường Open Banking quốc tế.

- Các tổ chức tài chính, ngân hàng chịu rủi ro bị chối bỏ về công nghệ áp dụng hoặc căn cứ pháp lý khi tiến hành kết nối với thị trường thế giới, không thể tham gia mạng lưới thanh toán, chia sẻ thông tin chung theo PSD2/Open Banking.

- Kiến trúc chứng thư số không đồng bộ, chữ ký điện tử, chữ ký số không cùng định dạng dẫn tới việc kéo dài thời gian, chi phí để xử lý và chứng thực tài liệu điện tử, đặc biệt là các chứng từ tài chính cần lưu trữ lâu dài, ít nhất 10 năm hoặc vĩnh viễn.

Thêm vào đó, thị trường tài chính là một trong những thị trường vô cùng nhạy cảm với những rủi ro thường trực về an ninh bảo mật và nguy cơ giả mạo giấy tờ. Cùng với PSD2, chiến lược Open Banking đang mở rộng thị trường tài chính số với các phân khúc mới, việc tuân thủ khung tiêu chuẩn thông qua các dịch vụ tin cậy QTSP là phương thức duy nhất đảm bảo sự tin cậy giữa các nhà cung cấp dịch vụ thanh toán, khách hàng và các tổ chức tài chính, ngân hàng. Thông qua một tiêu chuẩn chung về hạ tầng kỹ thuật, tính hợp pháp của bằng chứng, chứng cứ điện tử và quy trình định danh - xác thực, các tổ chức tham gia hệ sinh thái tài chính số sẽ tránh được rủi ro về sự chênh lệch quy chuẩn dẫn tới chối bỏ lẫn nhau trên môi trường mạng.

Thêm vào đó, chứng thư số, dịch vụ chữ ký số QTSP tuân thủ các yêu cầu quy định tại Chỉ thị chống rửa tiền 843/2018 (5AMLD) cũng như cơ chế xác thực đa lớp của PSD2 về quy trình KYC², giảm bớt đáng kể gánh nặng về công nghệ và thủ tục kiểm tra phức tạp cho các tổ chức tài chính khi cung cấp dịch vụ xuyên biên giới. Thay vì phải xây dựng chính sách phù hợp với bộ luật tài chính của từng quốc gia riêng biệt, mạng lưới eIDAS và đặc biệt là dịch vụ tin cậy đảm bảo của QTSP mở ra cánh cửa để các ngân hàng tiếp cận thị trường chung châu Âu và trên thế giới dưới một phương thức chuẩn hóa, loại bỏ thời gian, chi phí cũng như rủi ro khi chia sẻ/tiếp nhận dữ liệu định danh người dùng. Theo báo cáo dự án nghiên cứu Kết nối danh tính xuyên biên giới (STORK 2.0) năm 2016 của Ủy ban EC, chỉ tính riêng tại Bồ Đào Nha đã tạo ra thị trường tiềm năng với hơn 1 triệu tài khoản ngân hàng mỗi năm từ các quốc gia thành viên. Ngân hàng Barclays thuộc Vương quốc Anh ghi nhận thay vì dành 75% thời gian on-boarding để thực hiện thủ tục định danh xác thực trên giấy, chứng thư số QTSP đã giảm tỷ lệ này còn 5%, tới ngưỡng trung bình chỉ trên dưới 1.5 phút đối với người dùng phổ thông³.

Ứng dụng những dịch vụ chứng thực điện tử và ký số từ nhà cung cấp dịch vụ tin cậy đảm bảo QTSP sẽ là phương thức hiệu quả để hiện đại hóa, chuyển đổi số toàn diện trong giao dịch điện tử, thúc đẩy thương mại điện tử, xây dựng hệ thống ngân hàng số, ngân hàng mở, mở rộng ra là nền tảng chính phủ mở, y tế mở,... minh bạch, chia sẻ, bảo mật và hội nhập với thế giới, đẩy mạnh thực thi hiệu quả các Hiệp định thương mại tự do EVFTA, UKVFTA, CPTPP.

Với những giá trị không thể phủ nhận đó của chứng nhận QTSP, những cơ quan chịu trách nhiệm thúc đẩy giao dịch điện tử, thương mại điện tử xuyên biên giới của Chính phủ Việt Nam như Bộ Thông tin và Truyền thông, Bộ Công Thương hay những cơ quan liên quan khác như Bộ Tư pháp, Ngân hàng Nhà nước... cần phối hợp để tìm hiểu và sớm chấp nhận tiêu chuẩn này để từng bước đưa Việt Nam vào sân chơi chung, giúp các tổ chức, doanh nghiệp đón đầu thời cơ và tạo lợi thế cạnh tranh lớn trên thị trường toàn cầu.

¹ Quarterly Consultation CP20/18, Financial Conduct Authority, 2020.

² Study on eID digital onboarding: mapping and analysis of existing onboarding bank practices across EU, European Commission by PWC - DG Communication Network, 2018.

³ STORK 2.0, D5.2.5 eBanking Pilot Final Report, European Commission, 2016.

Vũ Ngọc Lý

Công ty Cổ phần Công nghệ Savis

Ngân Hàng	USD		EUR		GBP		JPY
Ngân Hàng	Mua vào	Bán ra	Mua vào	Bán ra	Mua vào	Bán ra	Mua vào	Bán ra
Vietcombank	25,153	25,483	26,041	27,469	31,401	32,736	158.95	168.19
BIDV	25,183	25,483	26,192	27,397	31,737	32,670	160.03	167.75
VietinBank	25,180	25,483	26,272	27,472	31,695	33,705	161.47	169.22
Agribank	25,210	25,483	26,181	27,385	31,604	32,695	160.79	168.44
Eximbank	25,170	25,483	26,272	27,228	31,706	32,816	161.8	167.71
ACB	25,190	25,483	26,288	27,190	31,818	32,778	161.82	168.21
Sacombank	25,210	25,483	26,231	27,206	31,686	32,853	161.86	168.91
Techcombank	25,222	25,483	26,070	27,413	31,464	32,808	158.16	170.62
LPBank	25,190	25,485	26,543	27,441	32,072	32,600	162.71	169.79
DongA Bank	25,220	25,483	26,310	27,150	31,740	32,770	160.10	167.80