Luật Đất đai 2024

Thông tư 16/2025/TT-BKHCN quy định Quy chế chứng thực mẫu do Bộ trưởng Bộ Khoa học và Công nghệ ban hành

Số hiệu 16/2025/TT-BKHCN
Cơ quan ban hành Bộ Khoa học và Công nghệ
Ngày ban hành 20/08/2025
Ngày công báo Đã biết
Lĩnh vực Công nghệ thông tin
Loại văn bản Thông tư
Người ký Nguyễn Mạnh Hùng
Ngày có hiệu lực Đã biết
Số công báo Đã biết
Tình trạng Đã biết

BỘ KHOA HỌC VÀ
CÔNG NGHỆ

-------

CỘNG HÒA XÃ HỘI CHỦ NGHĨA VIỆT NAM
Độc lập - Tự do - Hạnh phúc
---------------

Số: 16/2025/TT-BKHCN

Hà Nội, ngày 20 tháng 8 năm 2025

 

THÔNG TƯ

QUY ĐỊNH QUY CHẾ CHỨNG THỰC MẪU

Căn cứ Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;

Căn cứ Nghị định số 23/2025/NĐ-CP ngày 21 tháng 02 năm 2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy;

Căn cứ Nghị định số 55/2025/NĐ-CP ngày 02 tháng 3 năm 2025 của Chính phủ quy định chức năng, nhiệm vụ, quyền hạn và cơ cấu tổ chức của Bộ Khoa học và Công nghệ;

Theo đề nghị của Giám đốc Trung tâm Chứng thực điện tử quốc gia;

Bộ trưởng Bộ Khoa học và Công nghệ ban hành Thông tư quy định quy chế chứng thực mẫu.

Điều 1. Quy định quy chế chứng thực mẫu

Thông tư này quy định chi tiết khoản 2 Điều 29 của Nghị định số 23/2025/NĐ-CP ngày 21 tháng 02 năm 2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy, bao gồm:

1. Quy chế chứng thực mẫu của tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia (Trung tâm Chứng thực điện tử quốc gia), tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tại Phụ lục I kèm theo Thông tư này.

2. Quy chế chứng thực mẫu của tổ chức cung cấp dịch vụ tin cậy đối với dịch vụ cấp dấu thời gian tại Phụ lục II kèm theo Thông tư này.

3. Quy chế chứng thực mẫu của tổ chức cung cấp dịch vụ tin cậy đối với dịch vụ chứng thực thông điệp dữ liệu tại Phụ lục III kèm theo Thông tư này.

4. Quy chế chứng thực mẫu của tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn tại Phụ lục IV kèm theo Thông tư này.

Điều 2. Điều khoản thi hành

1. Thông tư này có hiệu lực thi hành kể từ ngày ký ban hành.

2. Thông tư số 31/2020/TT-BTTTT ngày 30 tháng 10 năm 2020 của Bộ trưởng Bộ Thông tin và Truyền thông ban hành quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia hết hiệu lực kể từ ngày Thông tư này có hiệu lực thi hành, trừ trường hợp quy định tại khoản 3 Điều này.

3. Trừ trường hợp lựa chọn áp dụng quy định tại Thông tư này, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đang hoạt động hợp pháp đã có quy chế chứng thực theo quy định tại Thông tư số 31/2020/TT-BTTTT, trong vòng 02 năm kể từ ngày Nghị định số 23/2025/NĐ-CP ngày 21 tháng 02 năm 2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy có hiệu lực thi hành, phải có trách nhiệm rà soát, sửa đổi, bổ sung hoặc thay thế quy chế chứng thực đáp ứng quy định tại Thông tư này.

Điều 3. Tổ chức thực hiện

1. Chánh Văn phòng, Vụ trưởng Vụ Kinh tế và Xã hội số, Giám đốc Trung tâm Chứng thực điện tử quốc gia, Thủ trưởng các đơn vị có liên quan thuộc Bộ Khoa học và Công nghệ và các tổ chức, cá nhân có liên quan chịu trách nhiệm thi hành Thông tư này.

2. Trong quá trình thực hiện Thông tư này, nếu có khó khăn, vướng mắc, tổ chức, cá nhân gửi ý kiến về Bộ Khoa học và Công nghệ (qua Trung tâm Chứng thực điện tử quốc gia) để kịp thời hướng dẫn, giải quyết./.

 


Nơi nhận:
- Thủ tướng, các Phó Thủ tướng Chính phủ;
- Các Bộ, cơ quan ngang Bộ, cơ quan thuộc Chính phủ;
- Ủy ban nhân dân, Sở Khoa học và Công nghệ các tỉnh, thành phố trực thuộc Trung ương;
- Cục Kiểm tra văn bản và Quản lý xử lý vi phạm chính (Bộ Tư pháp);
- Công báo, Cổng Thông tin điện tử Chính phủ;
- Bộ Khoa học và Công nghệ: Bộ trưởng và các Thứ trưởng, các cơ quan, đơn vị thuộc Bộ, trang thông tin điện tử Bộ;
- Lưu: VT, NEAC (20b).

BỘ TRƯỞNG




Nguyễn Mạnh Hùng

 

PHỤ LỤC I

QUY CHẾ CHỨNG THỰC MẪU CỦA TỔ CHỨC CUNG CẤP DỊCH VỤ CHỨNG THỰC ĐIỆN TỬ QUỐC GIA (TRUNG TÂM CHỨNG THỰC ĐIỆN TỬ QUỐC GIA), TỔ CHỨC CUNG CẤP DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNG

(Kèm theo Thông tư số 16/2025/TT-BKHCN ngày 20 tháng 8 năm 2025 của Bộ trưởng Bộ Khoa học và Công nghệ)

1. GIỚI THIỆU

1.1. Tổng quan

Giới thiệu chung về quy chế chứng thực, phạm vi và đối tượng áp dụng của quy chế.

Tài liệu quy chế chứng thực tuân thủ quy định của Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023, Nghị định số 23/2025/NĐ-CP ngày 21 tháng 02 năm 2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy và các quy định pháp luật liên quan.

Mô tả phạm vi áp dụng phù hợp với giấy phép kinh doanh dịch vụ (đối với tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng).

1.2. Tên và dấu hiệu nhận diện tài liệu

1.3. Các thành phần trong hệ thống dịch vụ chứng thực chữ ký số

1.3.1. Tổ chức cung cấp dịch vụ chứng thực điện tử quốc gia (Trung tâm Chứng thực điện tử quốc gia)

1.3.2. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng

1.3.3. Thuê bao

1.3.4. Bên tin tưởng

1.3.5. Các bên khác

1.4. Mục đích sử dụng chứng thư chữ ký số

Mô tả mục đích sử dụng chứng thư chữ ký số, phạm vi sử dụng chứng thư chữ ký số, cụ thể:

1.4.1. Các trường hợp sử dụng chứng thư chữ ký số hợp lệ

1.4.2. Các trường hợp không được sử dụng chứng thư chữ ký số

1.5. Quản lý quy chế chứng thực

Mô tả việc quản lý quy chế chứng thực, cụ thể:

1.5.1. Tổ chức quản lý quy chế chứng thực

1.5.2. Thông tin liên hệ

1.5.3. Cơ quan, tổ chức đánh giá sự phù hợp của quy chế chứng thực với pháp luật

1.5.4. Thủ tục phê duyệt, ban hành quy chế chứng thực

1.6. Các định nghĩa và từ viết tắt

Danh mục các từ định nghĩa, viết tắt được liệt kê ở mục này.

2. TRÁCH NHIỆM LƯU TRỮ VÀ CÔNG BỐ THÔNG TIN

2.1. Lưu trữ

Mô tả việc lưu trữ thông tin đáp ứng theo quy định tại khoản 4 Điều 43 Nghị định số 23/2025/NĐ-CP.

2.2. Công bố thông tin

Mô tả việc công bố thông tin trên trang thông tin điện tử đáp ứng theo quy định tại khoản 1 Điều 43 Nghị định số 23/2025/NĐ-CP.

2.3. Thời gian, tần suất công bố thông tin

Mô tả thời gian, tần suất công bố và duy trì thông tin đáp ứng theo quy định tại khoản 1 Điều 43 Nghị định số 23/2025/NĐ-CP.

2.4. Kiểm soát truy nhập thông tin

Kiểm soát việc truy nhập các thông tin được công bố trên trang thông tin điện tử như quy chế chứng thực, danh sách các chứng thư chữ ký số có hiệu lực, bị thu hồi,...

3. ĐỊNH DANH VÀ XÁC THỰC YÊU CẦU ĐỀ NGHỊ PHÁT HÀNH CHỨNG THƯ CHỮ KÝ SỐ

3.1. Đặt tên

3.1.1. Các kiểu tên

3.1.2. Cần tên có ý nghĩa

3.1.3. Ẩn danh hoặc bút danh

3.1.4. Quy tắc diễn giải các hình thức tên khác nhau

3.1.5. Tính duy nhất của tên

3.1.6. Nhận diện, xác thực và vai trò của nhãn hiệu

3.2. Xác minh đề nghị phát hành chứng thư chữ ký số

Mô tả rõ quy trình, thủ tục xác minh, kiểm tra hồ sơ đề nghị phát hành chứng thư chữ ký số, cụ thể:

3.2.1. Phương thức chứng minh quyền sở hữu khoá bí mật

3.2.2. Xác minh danh tính đối với tổ chức

3.2.3. Xác minh danh tính đối với cá nhân

3.2.4. Thông tin không được xác minh

3.2.5. Xác minh thẩm quyền

3.2.6. Tiêu chí liên thông

3.3. Xác minh đề nghị thay đổi cặp khóa

Mô tả rõ quy trình, thủ tục xác minh yêu cầu thay đổi cặp khóa, cụ thể:

3.3.1. Xác minh danh tính và xác thực đối với yêu cầu thay đổi cặp khóa định kỳ

3.3.2. Xác minh danh tính và xác thực đối với yêu cầu thay đổi cặp khoá sau khi thu hồi

3.4. Xác minh đề nghị thu hồi chứng thư chữ ký số

Mô tả rõ quy trình, thủ tục xác minh yêu cầu thu hồi chứng thư chữ ký số.

4. CÁC YÊU CẦU ĐỐI VỚI VÒNG ĐỜI HOẠT ĐỘNG CỦA CHỨNG THƯ CHỮ KÝ SỐ

4.1. Yêu cầu đề nghị phát hành chứng thư chữ ký số

Mô tả việc yêu cầu đề nghị phát hành chứng thư chữ ký số, cụ thể:

4.1.1. Đối tượng đề nghị phát hành chứng thư chữ ký số

4.1.2. Trách nhiệm và quy trình đăng ký

4.2. Xử lý yêu cầu đề nghị phát hành chứng thư chữ ký số

Mô tả quy trình xử lý yêu cầu đề nghị phát hành chứng thư chữ ký số, cụ thể:

4.2.1. Thực hiện chức năng xác minh danh tính và xác thực

4.2.2. Phê duyệt hoặc từ chối hồ sơ đề nghị phát hành chứng thư chữ ký số

4.2.3. Thời gian xử lý hồ sơ đề nghị phát hành chứng thư chữ ký số

4.3. Phát hành chứng thư chữ ký số

Mô tả quy trình, thủ tục phát hành chứng thư chữ ký số, cụ thể:

4.3.1. Quy trình phát hành chứng thư chữ ký số

4.3.2. Thông báo việc phát hành chứng thư chữ ký số

4.4. Xác nhận và công bố công khai chứng thư chữ ký số

Mô tả việc xác nhận và công bố công khai chứng thư chữ ký số, cụ thể:

4.4.1. Xác nhận các thông tin trên chứng thư chữ ký số được cấp là chính xác

4.4.2. Công bố chứng thư chữ ký số theo quy định

4.4.3. Thông báo đến các đối tượng khác về việc phát hành chứng thư chữ ký số

4.5. Sử dụng cặp khóa và chứng thư chữ ký số

Mô tả việc sử dụng cặp khóa và chứng thư chữ ký số, cụ thể:

4.5.1. Sử dụng khóa bí mật và chứng thư chữ ký số

4.5.2. Sử dụng khoá công khai và chứng thư chữ ký số bởi các bên tin tưởng

4.6. Gia hạn chứng thư chữ ký số

Mô tả việc gia hạn chứng thư chữ ký số, cụ thể:

4.6.1. Các trường hợp được gia hạn chứng thư chữ ký số

4.6.2. Đối tượng có thể yêu cầu gia hạn chứng thư chữ ký số

4.6.3. Xử lý yêu cầu gia hạn chứng thư chữ ký số

4.6.4. Thông báo việc gia hạn chứng thư chữ ký số

4.6.5. Xác nhận đối với chứng thư chữ ký số được gia hạn

4.6.6. Công bố chứng thư chữ ký số đã được gia hạn

4.6.7. Thông báo chứng thư chữ ký số được gia hạn đến các đối tượng khác

4.7. Thay đổi cặp khóa

Mô tả việc thay đổi cặp khoá, cụ thể:

4.7.1. Các trường hợp được thay đổi cặp khoá

4.7.2. Đối tượng được gửi yêu cầu thay đổi cặp khoá

4.7.3. Xử lý yêu cầu thay đổi cặp khoá

4.7.4. Thông báo cập nhật chứng thư chữ ký số sau khi thay đổi cặp khóa

4.7.5. Xác nhận đối với chứng thư chữ ký số được cập nhật

4.7.6. Công bố chứng thư chữ ký số được cập nhật sau khi thay đổi cặp khóa

4.7.7. Thông báo chứng thư chữ ký số được cập nhật sau khi thay đổi cặp khóa đến các đối tượng khác

4.8. Thay đổi thông tin chứng thư chữ ký số

Mô tả việc thay đổi thông tin chứng thư chữ ký số, cụ thể:

4.8.1. Các trường hợp được thay đổi thông tin chứng thư chữ ký số

4.8.2. Đối tượng được gửi yêu cầu thay đổi thông tin chứng thư chữ ký số

4.8.3. Xử lý yêu cầu thay đổi thông tin chứng thư chữ ký số

4.8.4. Thông báo cập nhật chứng thư chữ ký số

4.8.5. Xác nhận đối với chứng thư chữ ký số được cập nhật

4.8.6. Công bố chứng thư chữ ký số được cập nhật sau khi thay đổi thông tin

4.8.7. Thông báo chứng thư chữ ký số được cập nhật sau khi thay đổi thông tin đến các đối tượng khác

4.9. Tạm dừng, phục hồi và thu hồi chứng thư chữ ký số

Mô tả việc tạm dừng, phục hồi và thu hồi chứng thư chữ ký số, cụ thể:

4.9.1. Các trường hợp được phép thu hồi chứng thư chữ ký số

4.9.2. Đối tượng được phép yêu cầu thu hồi chứng thư chữ ký số

4.9.3. Quy trình, thủ tục yêu cầu thu hồi chứng thư chữ ký số

4.9.4. Thời hạn gia hạn yêu cầu thu hồi chứng thư chữ ký số

4.9.5. Thời gian phải xử lý yêu cầu thu hồi chứng thư chữ ký số

4.9.6. Yêu cầu kiểm tra trạng thái thu hồi chứng thư chữ ký số đối với các bên tin tưởng

4.9.7. Tần suất công bố danh sách thu hồi chứng thư chữ ký số (CRL) (nếu áp dụng)

4.9.8. Độ trễ công bố CRL (nếu áp dụng)

4.9.9. Kiểm tra trạng thái/thu hồi chứng thư chữ ký số trực tuyến

4.9.10. Yêu cầu kiểm tra trạng thái thu hồi chứng thư chữ ký số trực tuyến

4.9.11. Các hình thức thông báo thu hồi khác

4.9.12. Yêu cầu đặc biệt liên quan đến thay đổi cặp khóa

4.9.13. Các trường hợp được phép tạm dừng, phục hồi chứng thư chữ ký số

4.9.14. Đối tượng được phép yêu cầu tạm dừng, phục hồi chứng thư chữ ký số

4.9.15. Quy trình, thủ tục yêu cầu tạm dừng, phục hồi chứng thư chữ ký số

4.9.16. Giới hạn thời gian tạm dừng, phục hồi chứng thư chữ ký số

4.10. Kiểm tra trạng thái chứng thư chữ ký số

Mô tả việc kiểm tra trạng thái chứng thư chữ ký số, cụ thể:

4.10.1. Các hình thức kiểm tra trạng thái chứng thư chữ ký số

4.10.2. Khả năng sẵn sàng của dịch vụ kiểm tra trạng thái chứng thư chữ ký số

4.10.3. Các tính năng khác

4.11. Chấm dứt dịch vụ

Các trường hợp chấm dứt dịch vụ, thủ tục chấm dứt dịch vụ.

4.12. Lưu trữ và phục hồi khóa

Mô tả việc lưu trữ và phục hồi khóa, cụ thể:

4.12.1. Chính sách và thực tiễn việc lưu trữ và phục hồi khóa

4.12.2. Chính sách và thực tiễn việc mã hóa và phục hồi khóa phiên

5. KIỂM SOÁT, QUẢN LÝ VÀ VẬN HÀNH

5.1. Kiểm soát an toàn, an ninh vật lý

Mô tả việc kiểm soát an toàn, an ninh vật lý, cụ thể:

5.1.1. Vị trí đặt và xây dựng hệ thống

5.1.2. Truy cập vật lý

5.1.3. Điều hòa và nguồn điện

5.1.4. Tiếp xúc với nước

5.1.5. Phòng ngừa và bảo vệ chống cháy

5.1.6. Phương tiện lưu trữ

5.1.7. Xử lý rác

5.1.8. Hệ thống dự phòng

5.2. Kiểm soát quy trình

Mô tả việc kiểm soát quy trình, cụ thể:

5.2.1. Các vai trò tin cậy

5.2.2. Số lượng người cần thiết cho mỗi công việc

5.2.3. Định danh và xác thực cho từng thành viên

5.2.4. Vai trò, trách nhiệm của từng thành viên

5.3. Kiểm soát nhân sự

Mô tả việc kiểm soát nhân sự, cụ thể:

5.3.1. Yêu cầu về kinh nghiệm, bằng cấp, chứng chỉ của đội ngũ nhân sự liên quan đến quản lý và vận hành hệ thống

5.3.2. Quy trình kiểm tra lý lịch

5.3.3. Yêu cầu về đào tạo cho cán bộ vận hành, quản lý hệ thống

5.3.4. Tần suất và yêu cầu đào tạo lại

5.3.5. Tần suất và trình tự luân chuyển công việc

5.3.6. Các hình thức xử lý đối với hành động không được phép

5.3.7. Yêu cầu đối với nhà thầu độc lập

5.3.8. Cung cấp tài liệu cho nhân sự

5.4. Các quy trình ghi nhật ký hệ thống

Mô tả rõ các quy trình ghi nhật ký hệ thống, cụ thể:

5.4.1. Các loại sự kiện được ghi lại

Mô tả rõ các sự kiện nào cần được ghi vào nhật ký hệ thống và cách thức ghi vào nhật ký.

5.4.2. Tần suất xử lý nhật ký hệ thống

5.4.3. Thời gian lưu giữ nhật ký hệ thống

5.4.4. Bảo vệ nhật ký hệ thống

5.4.5. Quy trình sao lưu nhật ký hệ thống

5.4.6. Hệ thống thu thập nhật ký hệ thống (nội bộ so với bên ngoài)

5.4.7. Thông báo cho đối tượng gây ra sự kiện

5.4.8. Đánh giá lỗ hổng bảo mật

5.5. Lưu trữ các bản ghi

Mô tả việc lưu trữ các bản ghi, cụ thể:

5.5.1. Các loại bản ghi được lưu trữ

5.5.2. Thời hạn lưu trữ bản ghi

5.5.3. Bảo vệ bản ghi

5.5.4. Quy trình sao lưu bản ghi

5.5.5. Yêu cầu về gắn dấu thời gian cho bản ghi

5.5.6. Hệ thống thu thập bản ghi (nội bộ so với bên ngoài)

5.5.7. Quy trình truy cập và xác minh thông tin bản ghi

5.6. Thay đổi cặp khóa

Mô tả quy trình, thủ tục thay đổi cặp khóa.

5.7. Xử lý sự cố, thảm họa và phục hồi

Mô tả kịch bản xử lý sự cố, thảm họa và phục hồi sau thảm họa, cụ thể:

5.7.1. Quy trình xử lý sự cố và thảm họa

5.7.2. Sự cố về tài nguyên máy tính, phần mềm và dữ liệu

5.7.3. Quy trình xử lý khóa bí mật bị xâm phạm

5.7.4. Khả năng phục hồi hoạt động sau thảm họa

5.8. Dừng hoạt động cung cấp dịch vụ

Mô tả quy trình dừng hoạt động và thông báo dừng hoạt động.

6. ĐẢM BẢO AN TOÀN AN NINH VỀ KỸ THUẬT

6.1. Tạo và phân phối cặp khóa.

Mô tả việc tạo và phân phối cặp khóa, cụ thể:

6.1.1. Cách thức tạo cặp khóa

6.1.2. Chuyển giao khóa bí mật

6.1.3. Chuyển giao khóa công khai cho tổ chức phát hành chứng thư chữ ký số

6.1.4. Chuyển giao khóa công khai của tổ chức phát hành chứng thư chữ ký số cho bên tin tưởng

6.1.5. Kích thước khóa

6.1.6. Tạo các tham số cho khóa công khai và kiểm tra chất lượng

6.1.7. Mục đích sử dụng khóa

6.2. Kiểm soát và bảo vệ khóa bí mật, mô-đun mật mã

Mô tả việc kiểm soát và bảo vệ khóa bí mật, mô-đun mật mã, cụ thể:

6.2.1. Tiêu chuẩn và kiểm soát đối với mô-đun mật mã

6.2.2. Kiểm soát đa bên đối với khóa bí mật (n out of m)

6.2.3. Chuyển giao khóa bí mật

6.2.4. Dự phòng khóa bí mật

6.2.5. Lưu trữ khóa bí mật

6.2.6. Chuyển khóa bí mật vào hoặc ra khỏi mô-đun mật mã

6.2.7. Lưu trữ khóa bí mật trên mô-đun mật mã

6.2.8. Phương thức kích hoạt khóa bí mật

6.2.9. Phương thức vô hiệu hóa khóa bí mật

6.2.10. Phương thức hủy khóa bí mật

6.2.11. Đánh giá mô-đun mật mã

6.3. Các vấn đề khác liên quan đến quản lý cặp khóa

Mô tả các vấn đề khác liên quan đến quản lý cặp khóa, cụ thể:

6.3.1. Lưu trữ khóa công khai

6.3.2. Thời hạn sử dụng chứng thư chữ ký số và thời hạn sử dụng cặp khóa

6.4. Kích hoạt dữ liệu

Mô tả việc kích hoạt dữ liệu, cụ thể:

6.4.1. Khởi tạo và cài đặt dữ liệu kích hoạt

6.4.2. Bảo vệ dữ liệu kích hoạt

6.4.3. Các khía cạnh khác của dữ liệu kích hoạt

6.5. Kiểm soát an ninh máy tính

Mô tả việc kiểm soát an ninh máy tính, cụ thể:

6.5.1. Các yêu cầu kỹ thuật cụ thể về an ninh máy tính

6.5.2. Định kỳ đánh giá an ninh hệ thống máy tính

6.6. Kiểm soát vòng đời kỹ thuật

Mô tả quy trình, thủ tục giám sát, quản lý giám sát việc triển khai hoạt động của hệ thống, cụ thể:

6.6.1. Kiểm soát phát triển hệ thống

6.6.2. Kiểm soát quản lý an ninh

6.6.3. Kiểm soát vòng đời hệ thống

6.7. Giám sát an ninh hệ thống mạng

Mô tả việc thiết lập hệ thống kiểm soát an ninh mạng đảm bảo an toàn cho hệ thống nhằm phát hiện xâm nhập và tấn công từ bên ngoài.

6.8. Dấu thời gian (Time-stamping)

(nếu có)

7. ĐỊNH DẠNG CHỨNG THƯ CHỮ KÝ SỐ, DANH SÁCH THU HỒI CHỨNG THƯ CHỮ KÝ SỐ (CRL), GIAO THỨC KIỂM TRA TRẠNG THÁI CHỨNG THƯ CHỮ KÝ SỐ TRỰC TUYẾN (OCSP)

7.1. Định dạng của chứng thư chữ ký số

Quy định các trường thông tin cơ bản, trường thông tin mở rộng của chứng thư chữ ký số, cụ thể:

7.1.1. Phiên bản

7.1.2. Các trường mở rộng

7.1.3. Định danh thuật toán

7.1.4. Định dạng tên

7.1.5. Các ràng buộc, hạn chế về tên

7.1.6. Định danh quy chế chứng thực

7.1.7. Sử dụng trường mở rộng Policy Constraint

7.1.8. Cú pháp và ngữ nghĩa trong quy chế chứng thực

7.1.9. Xử lý ngữ nghĩa cho trường mở rộng quan trọng Certificate Policies

7.2. Định dạng danh sách thu hồi chứng thư chữ ký số (CRL)

Mô tả định dạng CRL mà tổ chức sử dụng, cụ thể:

7.2.1. Số phiên bản của CRL

7.2.2. CRL và phần mở rộng đầu vào CRL

7.3. Định dạng giao thức kiểm tra trạng thái chứng thư chữ ký số trực tuyến (OCSP)

Mô tả định dạng OCSP mà tổ chức sử dụng, cụ thể:

7.3.1. Số phiên bản của OCSP

7.3.2. Phần mở rộng của OCSP

8. KIỂM ĐỊNH TÍNH TUÂN THỦ VÀ CÁC ĐÁNH GIÁ KHÁC

8.1. Tần suất và các tình huống kiểm tra kỹ thuật

Quy định việc kiểm tra kỹ thuật cho hệ thống chứng thực chữ ký số (kiểm tra định kỳ; đột xuất); các nội dung kiểm tra kỹ thuật, bảo trì hệ thống (bao gồm: hạ tầng hệ thống; các quy trình quản lý khóa; quy trình vận hành hệ thống; các nội dung khác theo yêu cầu của đơn vị kiểm tra kỹ thuật).

8.2. Danh tính và khả năng của đơn vị, người kiểm tra

8.3. Tính độc lập của bên đánh giá đối với tổ chức được đánh giá

8.4. Xử lý khi phát hiện sai sót

Mô tả kịch bản xử lý khi phát hiện sai sót, sự cố xảy ra.

8.5. Công bố kết quả kiểm tra kỹ thuật

8.6. Tần suất và các trường hợp đánh giá

9. CÁC NỘI DUNG NGHIỆP VỤ VÀ PHÁP LÝ KHÁC

9.1. Phí, giá

Mô tả các phí, giá cung cấp dịch vụ chứng thực chữ ký số công cộng và các loại chi phí khác (nếu có), cụ thể:

9.1.1. Phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số

Phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số theo quy định tại Thông tư số 13/2025/TT-BTC ngày 19 tháng 3 năm 2025 của Bộ trưởng Bộ Tài chính quy định mức thu, chế độ thu, nộp, quản lý và sử dụng phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số.

9.1.2. Giá

- Giá phát hành hoặc gia hạn chứng thư chữ ký số.

- Giá truy cập chứng thư chữ ký số.

- Giá truy cập thông tin thu hồi hoặc trạng thái chứng thư chữ ký số.

- Chính sách hoàn tiền: Mô tả phạm vi cho việc áp dụng chính sách hoàn trả giá dịch vụ.

9.1.3. Các loại chi phí khác

(nếu có)

9.2. Trách nhiệm tài chính

Mô tả về trách nhiệm tài chính, cụ thể:

9.2.1. Phạm vi bảo hiểm

9.2.2. Các tài sản khác

9.2.3. Phạm vi bảo hiểm hoặc bảo hành cho người dùng cuối

9.3. Bảo mật các thông tin nghiệp vụ

Mô tả việc bảo mật các thông tin nghiệp vụ, cụ thể:

9.3.1. Phạm vi thông tin nghiệp vụ cần được bảo mật

9.3.2. Thông tin nằm ngoài phạm vi bảo mật

9.3.3. Trách nhiệm bảo mật thông tin nghiệp vụ

9.4. Bảo vệ dữ liệu cá nhân

Mô tả các nội dung về bảo vệ dữ liệu cá nhân, cụ thể:

9.4.1. Biện pháp bảo vệ dữ liệu cá nhân

9.4.2. Phạm vi bảo vệ dữ liệu cá nhân

9.4.3. Những thông tin cá nhân ngoài phạm vi bảo vệ

9.4.4. Trách nhiệm bảo vệ dữ liệu cá nhân

9.4.5. Thông báo và cho phép sử dụng dữ liệu cá nhân

9.4.6. Cung cấp thông tin theo yêu cầu của cơ quan quản lý

9.4.7. Các tình huống cung cấp thông tin khác

9.5. Quyền sở hữu trí tuệ

Mô tả về việc xác lập quyền sở hữu trí tuệ đối với các nội dung của quy chế chứng thực và các nội dung khác theo quy định của pháp luật về sở hữu trí tuệ.

9.6. Tuyên bố và cam kết

Mô tả các tuyên bố và cam kết, cụ thể:

9.6.1. Tuyên bố và cam kết của tổ chức phát hành chứng thư chữ ký số

9.6.2. Tuyên bố và cam kết của thuê bao

Mô tả việc tuyên bố và cam kết của thuê bao đối với việc sử dụng dịch vụ tuân thủ theo quy định tại khoản 8 Điều 45 Nghị định số 23/2025/NĐ-CP.

9.6.3. Tuyên bố và cam kết của bên tin tưởng

9.6.4. Tuyên bố và cam kết của các bên liên quan khác

9.7. Từ chối bảo hành

Mô tả các trường hợp từ chối bảo hành của tổ chức cung cấp dịch vụ phù hợp với pháp luật hiện hành và các thỏa thuận khác (nếu có).

9.8. Giới hạn trách nhiệm

Trách nhiệm của tổ chức trong quá trình cung cấp dịch vụ.

9.9. Bồi thường thiệt hại

Trách nhiệm bồi thường thiệt hại của tổ chức trong quá trình cung cấp dịch vụ.

9.10. Hiệu lực của quy chế chứng thực

Mô tả các nội dung về hiệu lực của quy chế chứng thực, cụ thể:

9.10.1. Thời hạn

9.10.2. Chấm dứt hiệu lực

9.10.3. Ảnh hưởng của việc chấm dứt hiệu lực

9.11. Thông báo và trao đổi thông tin với các bên tham gia

Mô tả việc thông báo và trao đổi thông tin với các bên tham gia.

9.12. Bổ sung và sửa đổi

Mô tả việc sửa đổi, bổ sung quy chế chứng thực, cụ thể:

9.12.1. Quy trình sửa đổi

Các trường hợp được sửa đổi, bổ sung quy chế chứng thực; quy trình sửa đổi, bổ sung quy chế chứng thực.

9.12.2. Cơ chế và thời hạn thông báo

9.12.3. Các trường hợp cần thay đổi OID (Object identifier - mã định danh đối tượng)

9.13. Thủ tục giải quyết khiếu nại

Mô tả các biện pháp, thủ tục giải quyết khiếu nại trong quá trình cung cấp dịch vụ.

9.14. Hệ thống căn cứ pháp lý

Tài liệu quy chế chứng thực được điều chỉnh bởi các văn bản quy phạm pháp luật, bao gồm:

- Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;

- Nghị định số 23/2025/NĐ-CP ngày 21 tháng 02 năm 2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy.

9.15. Tuân thủ quy định pháp luật hiện hành

- Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

- Luật An ninh mạng ngày 12 tháng 6 năm 2018;

- Luật Dữ liệu ngày 30 tháng 11 năm 2024;

- Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ về bảo vệ dữ liệu cá nhân;

- Nghị định số 69/2024/NĐ-CP ngày 25 tháng 6 năm 2024 của Chính phủ quy định về định danh và xác thực điện tử;

- Thông tư số 13/2025/TT-BTC ngày 19 tháng 3 năm 2025 của Bộ trưởng Bộ Tài chính quy định mức thu, chế độ thu, nộp, quản lý và sử dụng phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số.

- ...

Tổ chức, cá nhân có trách nhiệm cung cấp thông tin phục vụ công tác đấu tranh, phòng, chống tội phạm lợi dụng dịch vụ để thực hiện các hành vi vi phạm pháp luật.

9.16. Các điều khoản chung

9.16.1. Thỏa thuận toàn bộ

9.16.2. Chuyển nhượng

9.16.3. Tính độc lập của các điều khoản

9.16.4. Sự thực thi

Phí xử lý khi áp dụng các thủ tục giải quyết tranh chấp (tòa án, trọng tài, trung gian hòa giải,...) và việc từ bỏ quyền thực thi.

9.16.5. Sự kiện bất khả kháng

9.17. Các điều khoản khác

(nếu có)

 

PHỤ LỤC II

QUY CHẾ CHỨNG THỰC MẪU CỦA TỔ CHỨC CUNG CẤP DỊCH VỤ TIN CẬY ĐỐI VỚI DỊCH VỤ CẤP DẤU THỜI GIAN
(Kèm theo Thông tư số 16/2025/TT-BKHCN ngày 20 tháng 8 năm 2025 của Bộ trưởng Bộ Khoa học và Công nghệ)

THUẬT NGỮ TRONG TÀI LIỆU

GIỚI THIỆU

Giới thiệu chung về quy chế chứng thực.

Tài liệu quy chế chứng thực tuân thủ quy định của Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023, Nghị định số 23/2025/NĐ-CP ngày 21 tháng 02 năm 2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy và các quy định pháp luật liên quan.

1. PHẠM VI ÁP DỤNG

Mô tả phạm vi áp dụng phù hợp với giấy phép kinh doanh dịch vụ.

2. TÀI LIỆU THAM CHIẾU

2.1. Tài liệu tham chiếu mang tính tiêu chuẩn

2.2. Tài liệu tham chiếu mang tính tham khảo

3. THUẬT NGỮ, BIỂU TƯỢNG, CHỮ VIẾT TẮT VÀ KÝ HIỆU

3.1. Thuật ngữ

3.2. Biểu tượng

3.3. Chữ viết tắt

3.4. Ký hiệu

4. CÁC KHÁI NIỆM CHUNG

4.1. Các khái niệm về yêu cầu chính sách chung

4.2. Dịch vụ cấp dấu thời gian

4.3. Tổ chức cung cấp dịch vụ cấp dấu thời gian (TSA - Time Stamping Authority)

4.4. Thuê bao

4.5. Chính sách cấp dấu thời gian và quy chế chứng thực của tổ chức cung cấp dịch vụ cấp dấu thời gian

5. QUY ĐỊNH VÀ CÁC YÊU CẦU CHUNG VỀ DỊCH VỤ CẤP DẤU THỜI GIAN

5.1. Yêu cầu chung

5.2. Tên chính sách và định danh

Mô tả các chính sách và định danh đối với TSA.

5.3. Đối tượng sử dụng và phạm vi áp dụng

Mô tả các đối tượng sử dụng và phạm vi áp dụng của chính sách cấp dấu thời gian.

6. CHÍNH SÁCH VÀ THỰC THI

6.1. Đánh giá rủi ro

6.2. Quy chế chứng thực của tổ chức cung cấp dịch vụ tin cậy

6.3. Điều khoản và điều kiện áp dụng

6.4. Chính sách an toàn thông tin

Mô tả chính sách an toàn thông tin đảm bảo phù hợp với quy định pháp luật về an toàn thông tin mạng và an ninh mạng.

6.5. Nghĩa vụ của TSA

6.5.1. Tổng quan

6.5.2. Nghĩa vụ của TSA đối với thuê bao

6.6. Thông tin dành cho bên tin tưởng

7. QUẢN LÝ VÀ VẬN HÀNH TỔ CHỨC CUNG CẤP DỊCH VỤ CẤP DẤU THỜI GIAN

7.1. Giới thiệu

7.2. Tổ chức nội bộ

7.3. An ninh nhân sự

7.4. Quản lý tài sản

7.5. Kiểm soát truy cập

7.6. Kiểm soát mật mã

7.6.1. Tổng quan

7.6.2. Tạo khóa của TSU (Time Stamping Unit)

7.6.3. Bảo vệ khóa riêng của TSU

7.6.4. Khóa công khai của TSU

7.6.5. Thay đổi cặp khóa của TSU

7.6.6. Quản lý vòng đời phần cứng ký số

7.6.7. Kết thúc vòng đời khóa của TSU

7.7. Dấu thời gian

7.7.1. Cấp dấu thời gian

7.7.2. Đồng bộ thời gian với nguồn thời gian chuẩn quốc gia

7.8. An ninh vật lý và môi trường

7.9. An ninh vận hành

7.10. An ninh mạng

7.11. Quản lý sự cố

7.12. Thu thập bằng chứng

Mô tả quy trình thu thập bằng chứng.

7.13. Quản lý thường xuyên hoạt động kinh doanh

7.14. Chấm dứt hoạt động của TSA và kế hoạch chấm dứt

7.15. Tuân thủ quy định

a) Hệ thống căn cứ pháp lý

Tài liệu quy chế chứng thực được điều chỉnh bởi các văn bản quy phạm pháp luật, bao gồm:

- Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;

- Nghị định số 23/2025/NĐ-CP ngày 21 tháng 02 năm 2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy.

b) Tuân thủ quy định pháp luật hiện hành

- Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

- Luật An ninh mạng ngày 12 tháng 6 năm 2018;

- Luật Dữ liệu ngày 30 tháng 11 năm 2024;

- Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ về bảo vệ dữ liệu cá nhân;

- Nghị định số 69/2024/NĐ-CP ngày 25 tháng 6 năm 2024 của Chính phủ quy định về định danh và xác thực điện tử;

- Thông tư số 13/2025/TT-BTC ngày 19 tháng 3 năm 2025 của Bộ trưởng Bộ Tài chính quy định mức thu, chế độ thu, nộp, quản lý và sử dụng phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số.

- ...

Tổ chức, cá nhân có trách nhiệm cung cấp thông tin phục vụ công tác đấu tranh, phòng, chống tội phạm lợi dụng dịch vụ để thực hiện các hành vi vi phạm pháp luật.

 

PHỤ LỤC III

QUY CHẾ CHỨNG THỰC MẪU CỦA TỔ CHỨC CUNG CẤP DỊCH VỤ TIN CẬY ĐỐI VỚI DỊCH VỤ CHỨNG THỰC THÔNG ĐIỆP DỮ LIỆU
(Kèm theo Thông tư số 16/2025/TT-BKHCN ngày 20 tháng 8 năm 2025 của Bộ trưởng Bộ Khoa học và Công nghệ)

THUẬT NGỮ TRONG TÀI LIỆU

GIỚI THIỆU

Giới thiệu chung về quy chế chứng thực.

Tài liệu quy chế chứng thực tuân thủ quy định của Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023, Nghị định số 23/2025/NĐ-CP ngày 21 tháng 02 năm 2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy và các quy định pháp luật liên quan.

1. PHẠM VI ÁP DỤNG

Mô tả phạm vi áp dụng phù hợp với giấy phép kinh doanh dịch vụ.

2. TÀI LIỆU THAM CHIẾU

2.1. Tài liệu tham chiếu mang tính tiêu chuẩn

2.2. Tài liệu tham chiếu mang tính tham khảo

3. THUẬT NGỮ, CHỮ VIẾT TẮT VÀ KÝ HIỆU

3.1. Thuật ngữ

3.2. Chữ viết tắt

3.3. Ký hiệu

4. CÁC KHÁI NIỆM CHUNG

4.1. Các khái niệm về yêu cầu chính sách chung

4.2. Dịch vụ chứng thực thông điệp dữ liệu

4.3. Tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu

4.4. Thuê bao

4.5. Chính sách chứng thực thông điệp dữ liệu và quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu

5. QUY ĐỊNH VÀ CÁC YÊU CẦU CHUNG VỀ DỊCH VỤ CHỨNG THỰC THÔNG ĐIỆP DỮ LIỆU

5.1. Tính toàn vẹn và bảo mật nội dung của thuê bao

5.1.1. Các quy định chung

5.1.2. Quy định đối với tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu

5.2. Định danh và xác thực thuê bao

5.2.1. Quy định về xác minh danh tính ban đầu đối với tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu

5.2.1.1. Các quy định chung

5.2.1.2. Định danh người nhận và bàn giao nội dung người dùng

5.2.2. Quy định về xác thực đối với tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu

5.3. Tham chiếu thời gian

5.3.1. Các quy định chung

5.3.2. Quy định đối với tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu

5.4. Sự kiện và bằng chứng

5.4.1. Các quy định chung

5.4.2. Quy định đối với tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu

5.5. Khả năng liên thông

6. CHÍNH SÁCH VÀ THỰC THI

6.1. Đánh giá rủi ro

6.2. Quy chế chứng thực của tổ chức cung cấp dịch vụ tin cậy

6.3. Điều khoản và điều kiện áp dụng

6.4. Chính sách an toàn thông tin

Mô tả chính sách an toàn thông tin đảm bảo phù hợp với quy định pháp luật về an toàn thông tin mạng và an ninh mạng.

6.5. Nghĩa vụ của tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu

6.5.1. Tổng quan

6.5.2. Nghĩa vụ của tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu đối với thuê bao

6.6. Thông tin dành cho bên tin tưởng

7. QUẢN LÝ VÀ VẬN HÀNH TỔ CHỨC CUNG CẤP DỊCH VỤ CHỨNG THỰC THÔNG ĐIỆP DỮ LIỆU

7.1. Tổ chức nội bộ

7.1.1. Độ tin cậy của tổ chức

7.1.2. Phân tách công việc

7.2. Quản lý nhân sự

7.2.1. Các quy định chung

7.2.2. Quy định đối với tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu

7.3. Quản lý tài sản

7.3.1. Yêu cầu chung

7.3.2. Xử lý phương tiện lưu trữ

7.4. Kiểm soát truy cập

7.5. Kiểm soát mật mã

7.6. An ninh vật lý và môi trường

7.7. An ninh vận hành

7.8. An ninh mạng

7.9. Quản lý sự cố

7.10. Thu thập bằng chứng cho các dịch vụ nội bộ của tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu

Mô tả các quy định về thu thập bằng chứng cho các dịch vụ nội bộ của tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu.

7.11. Quản lý tính liên tục trong hoạt động kinh doanh

7.12. Chấm dứt hoạt động của tổ chức cung cấp dịch vụ chứng thực thông điệp dữ liệu và kế hoạch chấm dứt

7.13. Tuân thủ quy định

a) Hệ thống căn cứ pháp lý

Tài liệu quy chế chứng thực được điều chỉnh bởi các văn bản quy phạm pháp luật, bao gồm:

- Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;

- Nghị định số 23/2025/NĐ-CP ngày 21 tháng 02 năm 2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy.

b) Tuân thủ quy định pháp luật hiện hành

- Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

- Luật An ninh mạng ngày 12 tháng 6 năm 2018;

- Luật Dữ liệu ngày 30 tháng 11 năm 2024;

- Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ về bảo vệ dữ liệu cá nhân;

- Nghị định số 69/2024/NĐ-CP ngày 25 tháng 6 năm 2024 của Chính phủ quy định về định danh và xác thực điện tử;

- Thông tư số 13/2025/TT-BTC ngày 19 tháng 3 năm 2025 của Bộ trưởng Bộ Tài chính quy định mức thu, chế độ thu, nộp, quản lý và sử dụng phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư chữ ký số.

- ...

Tổ chức, cá nhân có trách nhiệm cung cấp thông tin phục vụ công tác đấu tranh, phòng, chống tội phạm lợi dụng dịch vụ để thực hiện các hành vi vi phạm pháp luật.

 

PHỤ LỤC IV

QUY CHẾ CHỨNG THỰC MẪU CỦA TỔ CHỨC TẠO LẬP CHỮ KÝ ĐIỆN TỬ CHUYÊN DÙNG BẢO ĐẢM AN TOÀN
(Kèm theo Thông tư số 16/2025/TT-BKHCN ngày 20 tháng 8 năm 2025 của Bộ trưởng Bộ Khoa học và Công nghệ)

1. GIỚI THIỆU

1.1. Tổng quan

Giới thiệu chung về quy chế chứng thực, phạm vi và đối tượng áp dụng của Quy chế.

1.2. Tên và dấu hiệu nhận diện tài liệu

1.3. Các thành phần trong hệ thống

1.4. Mục đích tạo lập, sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn

1.5. Quản lý quy chế chứng thực

1.6. Các định nghĩa và từ viết tắt

2. TRÁCH NHIỆM LƯU TRỮ VÀ CÔNG BỐ THÔNG TIN

2.1. Lưu trữ

2.2. Công bố thông tin

2.3. Thời gian, tần suất công bố thông tin

2.4. Kiểm soát truy nhập thông tin

Kiểm soát việc truy nhập các thông tin được công bố trên trang thông tin điện tử như quy chế chứng thực, danh sách các chứng thư chữ ký điện tử chuyên dùng có hiệu lực, bị thu hồi,...

3. ĐỊNH DANH VÀ XÁC THỰC YÊU CẦU ĐỀ NGHỊ SỬ DỤNG CHỮ KÝ ĐIỆN TỬ CHUYÊN DÙNG BẢO ĐẢM AN TOÀN

3.1. Định danh của tổ chức, cá nhân đề nghị sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn/chứng thư chữ ký điện tử

3.2. Xác minh đề nghị sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn/chứng thư chữ ký điện tử

3.3. Xác minh đề nghị thay đổi thông tin chữ ký điện tử chuyên dùng bảo đảm an toàn/chứng thư chữ ký điện tử

3.4. Xác minh đề nghị chấm dứt sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn/thu hồi chứng thư chữ ký điện tử

4. CÁC YÊU CẦU ĐỐI VỚI VÒNG ĐỜI HOẠT ĐỘNG CỦA CHỮ KÝ ĐIỆN TỬ CHUYÊN DÙNG BẢO ĐẢM AN TOÀN/CHỨNG THƯ CHỮ KÝ ĐIỆN TỬ

4.1. Yêu cầu đề nghị sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn/chứng thư chữ ký điện tử

4.2. Xử lý yêu cầu đề nghị sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn/chứng thư chữ ký điện tử

4.3. Tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn/phát hành chứng thư chữ ký điện tử

4.4. Xác nhận chữ ký điện tử chuyên dùng bảo đảm an toàn/chứng thư chữ ký điện tử

4.5. Sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn/chứng thư chữ ký điện tử

4.6. Thay đổi thông tin chữ ký điện tử chuyên dùng bảo đảm an toàn/chứng thư chữ ký điện tử

4.7. Chấm dứt sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn/thu hồi chứng thư chữ ký điện tử

4.8. Kiểm tra chữ ký điện tử chuyên dùng bảo đảm an toàn/trạng thái chứng thư chữ ký điện tử

4.9. Lưu trữ thông tin chữ ký điện tử chuyên dùng bảo đảm an toàn/chứng thư chữ ký điện tử

5. KIỂM SOÁT, QUẢN LÝ VÀ VẬN HÀNH

5.1. Kiểm soát an toàn, an ninh vật lý

5.2. Kiểm soát quy trình

5.3. Kiểm soát nhân sự

5.4. Các quy trình ghi nhật ký hệ thống

5.5. Lưu trữ các bản ghi

5.6. Thay đổi khoá

5.7. Xử lý sự cố, thảm họa và phục hồi

5.8. Dừng hoạt động của tổ chức tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn

6. ĐẢM BẢO AN TOÀN AN NINH VỀ KỸ THUẬT

6.1. Kiểm soát và bảo vệ dữ liệu

6.2. Kiểm soát an ninh máy tính

6.3. Kiểm soát vòng đời kỹ thuật

6.4. Giám sát an ninh hệ thống mạng

7. GIẢI PHÁP CÔNG NGHỆ CHỮ KÝ ĐIỆN TỬ CHUYÊN DÙNG BẢO ĐẢM AN TOÀN

7.1. Giải pháp, công nghệ tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn

7.2. Cách thức tạo lập, sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn

7.3. Cách thức kiểm tra chữ ký điện tử chuyên dùng bảo đảm an toàn

8. KIỂM ĐỊNH TÍNH TUÂN THỦ VÀ CÁC ĐÁNH GIÁ KHÁC

8.1. Tần suất và các tình huống kiểm định kỹ thuật

Quy định việc kiểm tra kỹ thuật cho hệ thống tạo lập chữ ký điện tử chuyên dùng bảo đảm an toàn (kiểm tra định kỳ, đột xuất); các nội dung kiểm tra kỹ thuật, bảo trì hệ thống (bao gồm: hạ tầng hệ thống; các quy trình quản lý khóa; quy trình vận hành hệ thống; các nội dung khác theo yêu cầu của đơn vị kiểm tra kỹ thuật).

8.2. Danh tính và khả năng của đơn vị, người kiểm tra

8.3. Tính độc lập của bên đánh giá đối với tổ chức được đánh giá

8.4. Xử lý khi phát hiện sai sót

Mô tả kịch bản xử lý khi phát hiện sai sót, sự cố xảy ra.

8.5. Công bố kết quả kiểm định kỹ thuật

8.6. Tần suất và các trường hợp đánh giá

9. CÁC NỘI DUNG NGHIỆP VỤ VÀ PHÁP LÝ KHÁC

9.1. Trách nhiệm tài chính

9.2. Bảo mật các thông tin nghiệp vụ

Phạm vi thông tin nghiệp vụ cần được bảo mật và trách nhiệm bảo mật thông tin nghiệp vụ.

9.3. Bảo vệ dữ liệu cá nhân

Phạm vi thông tin, dữ liệu cá nhân cần được bảo vệ và trách nhiệm bảo vệ dữ liệu cá nhân theo quy định của pháp luật về dữ liệu và bảo vệ dữ liệu cá nhân.

9.4. Tuyên bố và cam kết

9.5. Từ chối trách nhiệm

Trường hợp miễn trừ trách nhiệm của tổ chức trong quá trình tạo lập, sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn.

9.6. Giới hạn trách nhiệm

Trách nhiệm của tổ chức trong quá trình tạo lập, sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn.

9.7. Bồi thường thiệt hại

Trách nhiệm bồi thường thiệt hại của tổ chức trong quá trình tạo lập, sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn.

9.8. Hiệu lực của quy chế chứng thực

9.9. Thông báo và trao đổi thông tin với các bên tham gia

9.10. Bổ sung và sửa đổi

9.11. Thủ tục giải quyết khiếu nại

Mô tả các biện pháp, thủ tục giải quyết khiếu nại trong quá trình tạo lập, sử dụng chữ ký điện tử chuyên dùng bảo đảm an toàn.

9.12. Hệ thống căn cứ pháp lý

Tài liệu quy chế chứng thực được điều chỉnh bởi các văn bản quy phạm pháp luật, bao gồm:

- Luật Giao dịch điện tử ngày 22 tháng 6 năm 2023;

- Nghị định số 23/2025/NĐ-CP ngày 21/02/2025 của Chính phủ quy định về chữ ký điện tử và dịch vụ tin cậy;

9.13. Tuân thủ quy định pháp luật hiện hành

- Luật An toàn thông tin mạng ngày 19 tháng 11 năm 2015;

- Luật An ninh mạng ngày 12 tháng 6 năm 2018;

- Luật Dữ liệu ngày 30 tháng 11 năm 2024;

- Nghị định số 13/2023/NĐ-CP ngày 17 tháng 4 năm 2023 của Chính phủ về bảo vệ dữ liệu cá nhân;

- Nghị định số 69/2024/NĐ-CP ngày 25 tháng 6 năm 2024 của Chính phủ quy định về định danh và xác thực điện tử;

- ...

Tổ chức, cá nhân có trách nhiệm cung cấp thông tin phục vụ công tác đấu tranh, phòng, chống tội phạm lợi dụng chữ ký điện tử chuyên dùng để thực hiện các hành vi vi phạm pháp luật.

9.14. Các điều khoản chung

9.15. Các điều khoản khác

(nếu có)

0
Tiện ích dành riêng cho tài khoản TVPL Basic và TVPL Pro
Tiện ích dành riêng cho tài khoản TVPL Basic và TVPL Pro
Tiện ích dành riêng cho tài khoản TVPL Basic và TVPL Pro
Tải về Thông tư 16/2025/TT-BKHCN quy định Quy chế chứng thực mẫu do Bộ trưởng Bộ Khoa học và Công nghệ ban hành
Tải văn bản gốc Thông tư 16/2025/TT-BKHCN quy định Quy chế chứng thực mẫu do Bộ trưởng Bộ Khoa học và Công nghệ ban hành

MINISTRY OF SCIENCE AND TECHNOLOGY
-------

THE SOCIALIST REPUBLIC OF VIETNAM
Independence - Freedom - Happiness
---------------

No. 16/2025/TT-BKHCN

Hanoi, August 20, 2025

 

CIRCULAR

ON MODEL AUTHENTICATION REGULATIONS

Pursuant to Law on Electronic Transactions dated June 22, 2023;

Pursuant to Government's Decree No. 23/2025/ND-CP dated February 21, 2025 on digital signatures and trust services;

Pursuant to Government's Decree No. 55/2025/ND-CP dated March 02, 2025 defining functions, tasks, powers and organizational structures of the Ministry of Science and Technology;

At the request of the Director of the National e-authentication service provider;

The Minister of Information and Communications issues a Circular on model authentication regulations.

Article 1. Model authentication regulations

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

1. Model authentication regulations of the national e-authentication service provider (The National E-Authentication Centre) and public digital signature authentication service providers in Appendix I attached hereto.

2. Model authentication regulations of trust service providers in Appendix II attached hereto.

3. Model authentication regulations of trust service providers for data message authentication services in Appendix III attached hereto.

4. Model authentication regulations of organizations generating special-use e-signatures in Appendix IV attached hereto

Article 2. Implementation clauses

1. This Circular shall come into force from the day on which it is signed.

2. The Circular No. 31/2020/TT-BTTTT dated October 30, 2020 of the Minister of Information and Communications on authentication regulations of e-signature authentication service providers shall cease to be effective from the effective date of this Circular, except for the case specified in Clause 3 hereof.

3. Except for cases where the provisions of this Circular apply, public digital signature authentication service providers with authentication regulations that operates in accordance with Circular No. 31/2020/TT-BTTTT shall, within 02 years from the effective date of Government’s Decree No. 23/2025/ND-CP dated February 21, 2025 on digital signatures and trust services, review, amend, supplement, or replace their authentication regulations to comply with the provisions of this Circular.

Article 3. Implementation

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

2. Any difficulties that arise during implementation should be promptly reported to the Ministry of Science and Technology (through the National E-Authentication Centre) for guidance and handling./.

 

 

MINISTER




Nguyen Manh Hung

 

APPENDIX I

MODEL AUTHENTICATION REGULATIONS OF THE NATIONAL E-AUTHENTICATION SERVICE PROVIDER (THE NATIONAL E-AUTHENTICATION CENTRE) AND PUBLIC DIGITAL SIGNATURE AUTHENTICATION SERVICE PROVIDERS
(Enclosed with Circular No. 16/2025/TT-BKHCN dated August 20, 2025 of the Minister of the Science and Technology)

1. INTRODUCTION

1.1. Overview

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Authentication regulation documents shall comply with the provisions of the Law on Electronic Transactions dated June 22, 2023, Government’s Decree No. 23/2025/ND-CP dated February 21, 2025 on digital signatures and trust services, and relevant laws.

Description of the scope is based on the service business license (for public digital signature authentication service providers).

1.2. Name and identification marks of documents

1.3. Components in the digital signature authentication service system

1.3.1. The national e-authentication service provider (The National E-Authentication Centre)

1.3.2. Public digital signature authentication service providers

1.3.3. Subscribers

1.3.4. Trusted parties

1.3.5. Other parties

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Description of the purposes of using digital signature certificates, scope of use of digital signature certificates. To be specific:

1.4.1. Cases of valid use of digital signature certificates

1.4.2. Cases of invalid use of digital signature certificates

1.5. Management of authentication regulations

Description of the management of authentication regulations. To be specific:

1.5.1. Organization managing authentication regulations

1.5.2. Contact information

1.5.3. Conformity assessment bodies of the compliance of authentication regulations with the law

1.5.4. Procedures for approval and issuance of authentication regulations

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

List of defined terms and abbreviations are provided in this section.

2. RESPONSIBILITY FOR INFORMATION STORAGE AND DISCLOSURE

2.1. Storage

Description of information storage shall comply with Clause 4 Article 43 of the Decree No. 23/2025/ND-CP.

2.2. Information disclosure

Description of information disclosure on websites shall comply with Clause 1 Article 43 of the Decree No. 23/2025/ND-CP.

2.3. Time and  frequency of information disclosure

Description of time, frequency of information disclosure, and information maintenance shall comply with Clause 1 Article 43 of the Decree No. 23/2025/ND-CP.

2.4. Information access control

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

3. IDENTIFICATION AND AUTHENTICATION OF APPLICATIONS FOR ISSUANCE OF DIGITAL SIGNATURE CERTIFICATES

3.1. Naming

3.1.1. Types of names

3.1.2. Need for meaningful names

3.1.3. Anonymous or pseudonymous

3.1.4. Rules for interpreting different forms of names

3.1.5. Uniqueness of names

3.1.6. Identification, authentication, and roles of labels

3.2. Verification of applications for issuance of digital signature certificates

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

3.2.1. Methods of proving ownership of the private key

3.2.2. Identity verification for organizations

3.2.3. Identity verification for individuals

3.2.4. Unverified information

3.2.5. Verification of authority

3.2.6. Interoperability criteria

3.3. Verification of changing key pairs

Description of the process, procedures for verification of changing key pairs. To be specific:

3.3.1. Identity verification and authentication for periodic change of key pairs

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

3.4. Verification of applications for revocation of digital signature certificates

description of the process, procedures for verifying applications for revocation of digital signature certificates

4. REQUIREMENTS FOR THE LIFECYCLE OF DIGITAL SIGNATURE CERTIFICATES

4.1. Applications for issuance of digital signature certificates

Description of the application for issuance of digital signature certificates. To be specific:

4.1.1. Entities applying for issuance of digital signature certificates

4.1.2. Responsibilities and registration procedures

4.2. Processing applications for issuance of digital signature certificates

Description of the process for handling of application for issuance of digital signature certificates. To be specific:

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4.2.2. Approving or rejecting applications for the issuance of digital signature certificates

4.2.3. Processing time for applications for issuance of digital signature certificates

4.3. Issuance of digital signature certificates

Description of the process, procedures for issuance of digital signature certificates. To be specific:

4.3.1. Issuance of digital signature certificates

4.3.2. Notification of the issuance of digital signature certificates

4.4. Confirmation and disclosure of digital signature certificates

Description of the confirmation and disclosure of digital signature certificates. To be specific:

4.4.1. Confirmation of the accurate information on issued digital signature certificates

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4.4.3. Notification of the issuance of digital signature certificates to other parties

4.5. Purposes of using key pairs and digital signature certificates

Descriptions for using key pairs and digital signature certificates. To be specific:

4.5.1. Use of key pairs and digital signature certificates

4.5.2. Use of public key and digital signature certificates by trusted parties

4.6. Extension of digital signature certificates

Description of the extension of digital signature certificates. To be specific:

4.6.1. Cases eligible for extension of digital signature certificates

4.6.2. Entities eligible for the extension of digital signature certificates

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4.6.4. Notification of the extension of digital signature certificates

4.6.5. Confirmation for the extension of digital signature certificates

4.6.6. Disclosure of extended digital signature certificates

4.6.7. Notification of extended digital signature certificates to other parties

4.7. Key pair changes

Description of key pair changes. To be specific:

4.7.1. Cases eligible for key pair changes

4.7.2. Entities eligible for key pair changes

4.7.3. Handling of key pair changes

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4.7.5. Confirmation for the updated digital signature certificates

4.7.6. Disclosure of update of digital signature certificates after key pair changes

4.7.7. Notification of update of digital signature certificates after key pair changes to other parties

4.8. Changes in digital signature certificate information

Description of changes in digital signature certificate information. To be specific:

4.8.1. Cases eligible for changes in digital signature certificate information

4.8.2. Entities eligible for changes in digital signature certificate information

4.8.3. Handling of changes in digital signature certificate information

4.8.4. Notification of update of digital signature certificates

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4.8.6. Disclosure of update of digital signature certificates after changes in information

4.8.7. Notification of update of digital signature certificates after changes in information to other parties

49. Suspension, RE, and revocation of digital signature certificates

Description of the suspension, recovery, and revocation of digital signature certificates. To be specific:

4.9.1. Cases eligible for revocation of digital signature certificates

4.9.2. Entities eligible for revocation of digital signature certificates

4.9.3. Process, procedures for the revocation of digital signature certificates

4.9.4. Deadlines for extension of revocation of digital signature certificates

4.9.5. Deadlines for handling of revocation of digital signature certificates

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4.9.7. Frequency of publishing Certificate Revocation Lists (CRL) (if applicable)

4.9.8. Delay in publishing CRL (if applicable)

4.9.9. Online status checking/revocation of digital signature certificates

4.9.10. Request for online status check of revoked digital signature certificates

4.9.11. Other revocation notification methods

4.9.12. Special requests related to key pair changes

4.9.13. Cases eligible for suspension and/or recovery of digital signature certificates

4.9.14. Entities eligible for suspension and/or recovery of digital signature certificates

4.9.15. Process, procedures for suspension and/or recovery of digital signature certificates

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4.10. Status checking of digital signature certificates

Description of the status checking of digital signature certificates. To be specific:

4.10.1. Status checking methods of digital signature certificates

4.10.2. Service readiness for status checking of digital signature certificates

4.10.3. Other features

4.11. Service termination

Cases of service termination, procedures for service termination.

4.12. Key storage and recovery

Description of key storage and recovery. To be specific:

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4.12.2. Policies and practices for encryption and session key recovery.

5. CONTROL, MANAGEMENT, AND OPERATION

5.1. Safety and physical security controls

Description of safety and physical security controls. To be specific:

5.1.1. Location and construction of systems

5.1.2. Physical access

5.1.3. Air conditioning and power sources

5.1.4. Water contact

5.1.5. Fire prevention and protection

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

5.1.7. Waste management

5.1.8. Backup systems

5.2. Process Controls

Description of process controls. To be specific:

5.2.1. Roles and responsibilities

5.2.2. Number of personnel required for each task

5.2.3. Identification and authentication for each member

5.2.4. Roles and responsibilities of each member

5.3. Personnel Control

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

5.3.1. Requirements for experience, qualifications, and certifications of system management and operation personnel

5.3.2. Background check procedures

5.3.3. Training requirements for system operation and management personnel

5.3.4. Frequency and requirements for retraining

5.3.5. Frequency and sequence of job rotation

5.3.6. Actions to be taken for unauthorized behavior

5.3.7. Requirements for independent bidders

5.3.8. Provision of documentation for personnel

5.4. System logging processes

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

5.4.1. Types of events to be logged

Description of events needs to be logged in the system log and the method of logging.

5.4.2. Frequency of handling system logs

5.4.3. Retention period of system logs

5.4.4. Protection of system logs

5.4.5. System log backup procedures

5.4.6. System log collection system (internal vs. external)

5.4.7. Notification to the entity that caused the event

5.4.8. Security vulnerability assessment

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Description of data storage . To be specific:

5.5.1. Types of records stored

5.5.2. Record retention period

5.5.3. Protection of records

5.5.4. Record backup procedures

5.5.5. Requirements for timestamping records

5.5.6. Record collection system (internal vs. external)

5.5.7. Access and verification process for record information

5.6. Key pair changes

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

5.7. Handling of incident and disaster; Recovery

Description of the scenario for handling of incident and disaster and post-disaster recovery. To be specific:

5.7.1. Incident and disaster handling process

5.7.2. Incidents involving computer resources, software, and data

5.7.3. Process for handling compromised secret keys

5.7.4. Ability to recover operations after a disaster

5.8. Service termination

Description of the service termination process and notification of service termination.

6. TECHNICAL SECURITY ENSURANCE

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Description of key pair generation and distribution. To be specific:

6.1.1. Key pair generation methods

6.1.2. Transfer of secret keys

6.1.3. Transfer of public keys to the certificate issuers

6.1.4. Transfer of public keys of the certificate issuers to trusted parties

6.1.5. Key size

6.1.6. Generating parameters for public keys and quality checking

6.1.7. Purpose of key usage

6.2. Control and protection of secret keys, cryptographic modules

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

6.2.1. Standards and controls for cryptographic modules

6.2.2. Multi-party control for secret keys (n out of m)

6.2.3. Transfer of secret keys

6.2.4. Backup of secret keys

6.2.5. Storage of secret keys

6.2.6. Transfer of secret keys into or out of cryptographic modules

6.2.7. Storage of secret keys on cryptographic modules

6.2.8. Method of activating secret keys

6.2.9. Method of deactivating secret keys

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

6.2.11. Evaluation of cryptographic modules

6.3. Other key management related issues

Description of other key management related issues. To be specific:

6.3.1. Storage of public keys

6.3.2. Certificate validity period and key pair expiration period

6.4. Data Activation

Description of data activation. To be specific:

6.4.1. Initialization and installation of activation data

6.4.2. Protection of activation data

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

6.5. Computer security controls

Description of computer security controls. To be specific:

6.5.1. Specific technical requirements for computer security

6.5.2. Periodic assessment of computer system security

6.6. Technical lifecycle control

Description of the process, procedures for monitoring and managing the implementation of system operations. To be specific:

6.6.1. System development control

6.6.2. Security management control

6.6.3. System lifecycle control

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Description of establishing a network security monitoring system to ensure system safety for detecting external intrusions and attacks.

6.8. Time-stamping

(if applicable)

7. DIGITAL SIGNATURE CERTIFICATE FORMAT, CERTIFICATE REVOCATION LIST (CRL), ONLINE CERTIFICATE STATUS PROTOCOL (OCSP)

7.1. Digital signature certificate format

Regulations on the basic information fields, extended information fields of the digital signature certificate. To be specific:

7.1.1. Version

7.1.2. Extended fields

7.1.3. Algorithm identifier

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

7.1.5. Constraints, limitations on names

7.1.6. Certificate policy identifier

7.1.7. Use of the Policy Constraint extension field

7.1.8. Syntax and semantics in the certificate policy

7.1.9. Handling semantics for important Certificate Policies extension fields

7.2. Certificate Revocation List (CRL) format

Description of the CRL format used by the organization. To be specific:

7.2.1. CRL version number

7.2.2. CRL and CRL input extension parts

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Description of the OCSP format used by the organization. To be specific:

7.3.1. OCSP version number

7.3.2. OCSP extensions

8. COMPLIANCE AND OTHER ASSESSMENTS

8.1. Frequency and situations of technical checks

Regulations on technical checks for digital signature authentication systems (periodic checks; ad-hoc checks); contents of technical and system maintenance checks (including system infrastructure; key management processes; system operation processes; other contents as required by the technical inspection unit).

8.2. Identity and capability of the inspectorate and inspector

8.3. Independence of the inspector from the inspected organization

8.4. Handling when detecting errors

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

8.5. Disclosure of technical inspection results

8.6. Frequency and cases of evaluation

9. OTHER OPERATIONAL AND LEGAL CONTENTS

9.1. Fees and prices

Description of the fees, prices for providing public digital signature authentication services, and other types of costs (if applicable). To be specific:

9.1.1. Service fees for maintaining the digital signature certificate status checking system

Service fees for maintaining the digital signature certificate status checking system are specified in Circular No. 13/2025/TT-BTC dated March 19, 2025 of the Minister of Finance providing for rates, collection, payment, management and use of fees for online certificate status protocol maintenance.

9.1.2. Prices

- Price for issuing or renewing digital signature certificates.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Price for accessing revocation information or certificate status.

- Refund policy: Description for the scope for applying the service price refund policy.

9.1.3. Other types of costs

(if applicable)

9.2. Financial responsibility

Description of financial responsibility. To be specific:

9.2.1. Scope of insurance

9.2.2. Other assets

9.2.3. Scope of insurance or warranty for end-users

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

Description of operational information security. To be specific:

9.3.1. Scope of operational information to be protected

9.3.2. Information beyond the scope of protection

9.3.3. Responsibility for operational information protection

9.4. Personal data protection

Description of content regarding the personal data protection. To be specific:

9.4.1. Measures to protect personal data

9.4.2. Scope of personal data protection

9.4.3. Personal information beyond the scope of protection

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

9.4.5. Notification and consent for the use of personal data

9.4.6. Information provision upon request from the managing agency

9.4.7. Other situations for information provision

9.5. Intellectual property rights

Description of establishing intellectual property rights for contents of the authentication regulations and other contents stipulated by intellectual property laws.

9.6. Declarations and commitments

Description of declarations and commitments. To be specific:

9.6.1. Declarations and commitments of digital signature certificate issuers

9.6.2. Declarations and commitments of subscribers

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

9.6.3. Declarations and commitments of trusted entities

9.6.4. Declarations and commitments of other relevant parties

9.7. Disclaimer of warranty

Description of the cases in which service providers may disclaim warranty in accordance with applicable laws and other agreements (if applicable).

9.8. Limitation of liability

Responsibilities of providers during the service provision

9.9. Compensation for damages

Responsibility to compensate damages of providers during the service provision

9.10. Validity of the authentication regulations

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

9.10.1. Duration

9.10.2. Termination of validity

9.10.3. Impact of termination of validity

9.11. Notification and information exchange with participants

Description of notification and information exchange with participants

9.12. Amendments and modifications

Description of amendments and modifications of authentication regulations. To be specific:

9.12.1. Amendment procedures

Cases that require amendments and supplements to authentication regulations; amendment and supplement procedures for authentication regulations.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

9.12.3. Cases requiring changes to Object Identifiers (OIDs)

9.13. Complaint resolution procedures

Description of complaint resolution measures and procedures during the service provision.

9.14. Legal basis system

Authentication regulations are stipulated in the following legislative documents:

- Law on Electronic Transactions dated June 22, 2023;

- The Government's Decree No. 23/2025/ND-CP dated February 21, 2025 on digital signatures and trust services;

9.15. Compliance with applicable laws

- Law on Cyberinformation Security dated November 19, 2015;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Law on Data dated November 30, 2024;

- The Government’s Decree No. 13/2023/ND-CP dated April 17, 2023 on personal data protection;

- The Government's Decree No. 69/2024/ND-CP dated June 25, 2024 on electronic identification and authentication;

- Circular No. 13/2025/TT-BTC dated March 19, 2025 of the Minister of Finance providing for rates, collection, payment, management and use of fees for online certificate status protocol maintenance.

- ...

Organizations and individuals shall provide information to prevent the misuse of services to commit legal violations.

9.16. General provisions

9.16.1. Entire agreement

9.16.2. Transfer

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

9.16.4. Implementation

Fees for applying dispute resolution procedures (court, arbitration, mediation, etc.) and the waiver of enforcement rights.

9.16.5. Force majeure events

9.17. Other clauses

(if applicable)

 

APPENDIX II

REGULATIONS ON MODEL AUTHENTICATION OF TRUST SERVICE PROVIDERS FOR TIME STAMPING SERVICES
(Enclosed with Circular No. 16/2025/TT-BKHCN dated August 20, 2025 of the Minister of Science and Technology)

TERMINOLOGY

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

General introduction to authentication regulations.

Authentication regulations documents shall comply with the provisions of the Law on Electronic Transactions dated June 22, 2023, Government’s Decree No. 23/2025/ND-CP dated February 21, 2025 on digital signatures and trust services, and relevant regulations.

1. SCOPE

Description of the applicable scope in accordance with service business licenses.

2. REFERENCE DOCUMENTS

2.1. Standard reference documents

2.2. Reference documents

3. TERMINOLOGY, SYMBOLS, ABBREVIATIONS, AND SIGNS

3.1. Terminology

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

3.3. Abbreviations

3.4. Signs

4. GENERAL DEFINITIONS

4.1. Definitions on general policy requirements

4.2. Time stamping service

4.3. Time Stamping Authority (TSA)

4.4. Subscriber

4.5. Time stamping policy and authentication regulations of time stamping service providers

5. REGULATIONS AND GENERAL REQUIREMENTS FOR TIME STAMPING SERVICES

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

5.2. Policy names and identifiers

Description of policies and identifiers for TSA.

5.3. Users and applicable scope

Description of users and applicable scope of time stamping polices.

6. POLICIES AND IMPLEMENTATION

6.1. Risk assessment

6.2. Authentication regulations of trusted service providers

6.3. Terms and conditions

6.4. Information security policies

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

6.5. TSA obligations

6.5.1. Overview

6.5.2. TSA obligations towards subscribers

6.6. Information for trusted parties

7. MANAGEMENT AND OPERATION OF TIME STAMPING SERVICE PROVIDERS

7.1. Introduction

7.2. Internal organization

7.3. Personnel security

7.4. Property management

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

7.6. Cryptographic control

7.6.1. Overview

7.6.2. Time Stamping Unit’s (TSU) key generation

7.6.3. Private key protection of TSUs

7.6.4. Public key of TSUs

7.6.5. Key pair changes of TSUs

7.6.6. Hardware key lifecycle management

7.6.7. TSU’s key lifecycle end

7.7. Time stamps

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

7.7.2. Time synchronization with the national standard time source

7.8. Physical and environmental security

7.9. Operational security

7.10. Network security

7.11. Incident management

7.12. Evidence collection

Description of the evidence collection process.

7.13. Regular business operation management

7.14. Termination of TSA’s operation and termination plans

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

a) Legal basis system

Authentication regulations are stipulated in the following legislative documents:

- Law on Electronic Transactions dated June 22, 2023;

- The Government's Decree No. 23/2025/ND-CP dated February 21, 2025 on digital signatures and trust services;

b) Compliance with applicable laws

- Law on Cyberinformation Security dated November 19, 2015;

- Law on Cybersecurity dated June 12, 2018;

- Law on Data dated November 30, 2024;

- The Government’s Decree No. 13/2023/ND-CP dated April 17, 2023 on personal data protection;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- Circular No. 13/2025/TT-BTC dated March 19, 2025 of the Minister of Finance providing for rates, collection, payment, management and use of fees for online certificate status protocol maintenance.

- ...

Organizations and individuals shall provide information to prevent the misuse of services to commit legal violations.

 

APPENDIX III

REGULATIONS ON MODEL AUTHENTICATION OF TRUST SERVICE PROVIDERS FOR DATA MESSAGE AUTHENTICATION SERVICES
(Enclosed with Circular No. 16/2025/TT-BKHCN dated August 20, 2025 of the Minister of Science and Technology)

TERMINOLOGIES

INTRODUCTION

General introduction to authentication regulations.

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

1. SCOPE

Description of the applicable scope in accordance with service business licenses.

2. REFERENCE DOCUMENTS

2.1. Standard reference documents

2.2. Reference documents

3. TERMINOLOGY, ABBREVIATIONS, AND SIGNS

3.1. Terminology

3.2. Abbreviations

3.3. Signs

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4.1. Definitions on general policy requirements

4.2. Data message authentication services

4.3. Data message authentication service providers

4.4. Subscribers

4.5. Data message authentication policy and authentication regulations of data message authentication service providers

5. REGULATIONS AND GENERAL REQUIREMENTS FOR DATA MESSAGE AUTHENTICATION SERVICES

5.1. Integrity and security of subscriber contents

5.1.1. General provisions

5.1.2. Regulations for data message authentication service providers

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

5.2.1. Regulations on initial identity verification for data message authentication service providers

5.2.1.1. General provisions

5.2.1.2. User identification and content delivery

5.2.2. Authentication regulations for data message authentication service providers

5.3. Time reference

5.3.1. General provisions

5.3.2. Regulations for data message authentication service providers

5.4. Events and evidence

5.4.1. General provisions

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

5.5. Interoperability

6. POLICIES AND IMPLEMENTATION

6.1. Risk assessment

6.2. Authentication regulations of trusted service providers

6.3. Terms and conditions

6.4. Information security policies

Description of information security policies to ensure compliance with laws on cyberinformation security and cybersecurity.

6.5. Obligations of data message authentication service providers

6.5.1. Overview

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

6.6. Information for trusted parties

7. MANAGEMENT AND OPERATION OF DATA MESSAGE AUTHENTICATION SERVICE PROVIDERS

7.1. Internal organization

7.1.1. Reliability of providers

7.1.2. Work separation

7.2. Personnel management

7.2.1. General provisions

7.2.2. Regulations for data message authentication service providers

7.3. Property management

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

7.3.2. Handling of storage facilities

7.4. Access controls

7.5. Cryptographic control

7.6. Physical and environmental security

7.7. Operational security

7.8. Network security

7.9. Incident management

7.10. Evidence collection for internal services of data message authentication service providers

Description of regulations for evidence collection for internal services of data message authentication service providers

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

7.12. Termination of operations of data message authentication service providers and termination plans

7.13. Compliance with regulations

a) Legal basis system

Authentication regulations documents are stipulated in the following legislative documents:

- Law on Electronic Transactions dated June 22, 2023;

- The Government's Decree No. 23/2025/ND-CP dated February 21, 2025 on digital signatures and trust services;

b) Compliance with applicable laws

- Law on Cyberinformation Security dated November 19, 2015;

- Law on Cybersecurity dated June 12, 2018;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- The Government’s Decree No. 13/2023/ND-CP dated April 17, 2023 on personal data protection;

- The Government's Decree No. 69/2024/ND-CP dated June 25, 2024 on electronic identification and authentication;

- Circular No. 13/2025/TT-BTC dated March 19, 2025 of the Minister of Finance providing for rates, collection, payment, management and use of fees for online certificate status protocol maintenance.

- ...

Organizations and individuals shall provide information to prevent the misuse of services to commit legal violations.

 

APPENDIX IV

REGULATIONS ON MODEL AUTHENTICATION OF ORGANIZATIONS GENERATING SPECIAL-USE QUALIFIED E-SIGNATURES
(Enclosed with Circular No. 16/2025/TT-BKHCN dated August 20, 2025 of the Minister of Science and Technology)

1. INTRODUCTION

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

General introduction to the authentication regulations, scope, and regulated entities of the regulations.

1.2. Name and identification marks of documents

1.3. Components in systems

1.4. Purposes of establishment and use of special-use qualified e-signatures

1.5. Management of authentication regulations

1.6. Definitions and abbreviations

2. RESPONSIBILITY FOR INFORMATION STORAGE AND PUBLISHING

2.1. Storage

2.2. Information publishing

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

2.4. Information access control

Control of access to the information disclosed on websites such as authentication regulations, list of special-use e-signature certificates, revoked certificates, etc.

3. IDENTIFICATION AND VERIFICATION OF APPLICATIONS FOR SPECIAL-USE QUALIFIED E-SIGNATURES

Identification of organizations and/or individuals applying for using special-use qualified e-signatures/e-signature certificates

3.2. Verification of applications for using special-use qualified e-signatures/e-signature certificates

3.3. Verification of applications for changes of special-use qualified e-signatures/e-signature certificates

3.4. Verification of applications for termination of the use of special-use qualified e-signatures/e-signature certificates

4. REQUIREMENTS FOR THE LIFECYCLE OF SPECIAL-USE QUALIFIED E-SIGNATURES/E-SIGNATURE CERTIFICATES

4.1. Applications for using special-use qualified e-signatures/e-signature certificates

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

4.3. Generation of special-use qualified e-signatures/e-signature certificates

4.4. Verification of special-use qualified e-signatures/e-signature certificates

4.5. Use of special-use qualified e-signatures/e-signature certificates

4.6. Modification of information of special-use qualified e-signatures/e-signature certificates

4.7. Termination of the use of special-use qualified e-signatures/e-signature certificates

4.8. Inspection of special-use qualified e-signatures/e-signature certificates

4.9. Storage of information of special-use qualified e-signatures/e-signature certificates

5. CONTROL, MANAGEMENT, AND OPERATION

5.1. Safety and physical security controls

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

5.3. Personnel control

5.4. System logging processes

5.5. Data storage

5.6. Key change

5.7. Handling of incident or disaster; Recovery

5.8. Shut down of organizations generating special-use qualified e-signatures for security assurance.

6. TECHNICAL SECURITY ENSURANCE

6.1. Data control and protection

6.2. Computer security control

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

6.4. Network system security monitoring

7. TECHNOLOGY SOLUTION FOR SPECIAL-USE QUALIFIED E-SIGNATURES

7.1. Solution, technology for generating special-use qualified e-signatures

7.2. Purposes of generation and use of special-use qualified e-signatures

7.3. Procedures for checking special-use qualified e-signatures

8. COMPLIANCE AND OTHER ASSESSMENTS

8.1. Frequency and situations of technical checks

Regulations on technical checks for special-use qualified e-signature generation systems (periodic checks; ad-hoc checks); contents of technical and system maintenance checks (including system infrastructure; key management processes; system operation processes; other contents as required by the technical inspection unit).

8.2. Identity and capability of the inspectorate and inspector

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

8.4. Handling when detecting errors

Description of the scenario for handling errors and incidents when detected.

8.5. Disclosure of technical check results

8.6. Frequency and cases of evaluation

9. OTHER OPERATIONAL AND LEGAL CONTENTS

9.1. Financial responsibility

9.2. Protection of operational information

The scope of business information to be kept confidential and the responsibility to keep business information confidential.

9.3. Personal data protection

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

9.4. Declarations and commitments

9.5. Disclaimer

Cases where the organization is exempt from liability during the generation and use of special-use qualified e-signatures.

9.6. Limitation of liability

Responsibility of organizations during the generation and use of special-use qualified e-signatures.

9.7. Compensation for damages

Responsibility to compensate for damages of organizations during the generation and use of special-use qualified e-signatures.

9.8. Validity of the authentication regulations

9.9. Notification and information exchange with participants

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

9.11. Complaint resolution procedures

Description of measures, procedures for resolving complaints during the generation and use of special-use qualified e-signatures.

9.12. Legal basis system

Authentication regulations documents are stipulated in the following legislative documents:

- Law on Electronic Transactions dated June 22, 2023;

- The Government's Decree No. 23/2025/ND-CP dated February 21, 2025 on digital signatures and trust services;

9.13. Compliance with applicable laws

- Law on Cyberinformation Security dated November 19, 2015;

- Law on Cybersecurity dated June 12, 2018;

...

...

...

Bạn phải đăng nhập tài khoản TVPL Pro để xem được toàn bộ nội dung văn bản Tiếng Anh

- The Government’s Decree No. 13/2023/ND-CP dated April 17, 2023 on personal data protection;

- The Government's Decree No. 69/2024/ND-CP dated June 25, 2024 on electronic identification and authentication;

- ...

Organizations and individuals shall provide information to prevent the misuse of special-use qualified e-signatures to commit legal violations.

9.14. General provisions

9.15. Other clauses

(if applicable)

Văn bản được hướng dẫn - [0]
[...]
Văn bản được hợp nhất - [0]
[...]
Văn bản bị sửa đổi bổ sung - [0]
[...]
Văn bản bị đính chính - [0]
[...]
Văn bản bị thay thế - [0]
[...]
Văn bản được dẫn chiếu - [0]
[...]
Văn bản được căn cứ - [0]
[...]
Văn bản liên quan ngôn ngữ - [1]
[...]
Văn bản đang xem
Thông tư 16/2025/TT-BKHCN quy định Quy chế chứng thực mẫu do Bộ trưởng Bộ Khoa học và Công nghệ ban hành
Số hiệu: 16/2025/TT-BKHCN
Loại văn bản: Thông tư
Lĩnh vực, ngành: Công nghệ thông tin
Nơi ban hành: Bộ Khoa học và Công nghệ
Người ký: Nguyễn Mạnh Hùng
Ngày ban hành: 20/08/2025
Ngày hiệu lực: Đã biết
Ngày đăng: Đã biết
Số công báo: Đã biết
Tình trạng: Đã biết
Văn bản liên quan cùng nội dung - [0]
[...]
Văn bản hướng dẫn - [0]
[...]
Văn bản hợp nhất - [0]
[...]
Văn bản sửa đổi bổ sung - [0]
[...]
Văn bản đính chính - [0]
[...]
Văn bản thay thế - [0]
[...]
[...] Đăng nhập tài khoản TVPL Basic hoặc TVPL Pro để xem toàn bộ lược đồ văn bản