Tìm kiếm
Chương III Nghị định 130/2018/NĐ-CP: Dịch vụ chứng thực chữ ký số công cộng
| Số hiệu: | 130/2018/NĐ-CP | Loại văn bản: | Nghị định |
| Nơi ban hành: | Chính phủ | Người ký: | Nguyễn Xuân Phúc |
| Ngày ban hành: | 27/09/2018 | Ngày hiệu lực: | 15/11/2018 |
| Ngày công báo: | 10/10/2018 | Số công báo: | Từ số 967 đến số 968 |
| Lĩnh vực: | Thuế - Phí - Lệ Phí, Công nghệ thông tin | Tình trạng: | Còn hiệu lực |
TÓM TẮT VĂN BẢN
Quy định mới về cấp phép cung cấp dịch vụ chứng thực chữ ký số
Ngày 27/9/2018, Chính phủ ban hành Nghị định 130/2018/NĐ-CP hướng dẫn Luật Giao dịch điện tử về chữ ký số (CKS) và dịch vụ chứng thực chữ ký số.
Theo đó, một số quy định mới về điều kiện cấp giấy phép cung cấp dịch vụ chứng thực CKS công cộng, gồm:
- Nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư số đầy đủ (đối với trường hợp cấp lại giấy phép);
- Nhân sự quản trị hệ thống, vận hành hệ thống và cấp chứng thư số, bảo đảm an toàn thông tin hệ thống phải có bằng đại học trở lên, chuyên ngành an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông.
Ngoài ra, các tổ chức cung cấp dịch vụ chức thực CKS đang hoạt động hợp pháp, trong vòng 02 năm kể từ ngày 15/11/2018, phải đáp ứng các điều kiện cung cấp dịch vụ theo quy định tại Nghị định này.
Nghị định 130/2018/NĐ-CP có hiệu lực thi hành từ ngày 15/11/2018, thay thế các văn bản:
- Nghị định 26/2007/NĐ-CP ngày 15/02/2007;
- Nghị định 106/2011/NĐ-CP ngày 23/11/2011;
- Nghị định 170/2013/NĐ-CP ngày 13/11/2013.
Văn bản tiếng việt
Nghị định 130/2018/NĐ-CP (Bản Pdf)
Nghị định 130/2018/NĐ-CP (Bản Word)
Văn bản tiếng anh
Điều 11. Điều kiện hoạt động
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng được cung cấp dịch vụ khi đáp ứng các điều kiện sau:
1. Có giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng do Bộ Thông tin và Truyền thông cấp.
2. Có chứng thư số do Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia cấp.
Điều 12. Thời hạn giấy phépGiấy phép cấp cho tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có thời hạn 10 năm.
Điều 13. Điều kiện cấp phép1. Điều kiện về chủ thể:
Là doanh nghiệp thành lập theo pháp luật Việt Nam.
2. Điều kiện về tài chính:
a) Ký quỹ tại một ngân hàng thương mại hoạt động tại Việt Nam không dưới 05 (năm) tỷ đồng để giải quyết các rủi ro và các khoản đền bù có thể xảy ra trong quá trình cung cấp dịch vụ do lỗi của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng và thanh toán chi phí tiếp nhận và duy trì cơ sở dữ liệu của doanh nghiệp trong trường hợp bị thu hồi giấy phép;
b) Nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư số đầy đủ (trong trường hợp cấp lại giấy phép).
3. Điều kiện về nhân sự:
a) Doanh nghiệp phải có nhân sự chịu trách nhiệm: Quản trị hệ thống, vận hành hệ thống và cấp chứng thư số, bảo đảm an toàn thông tin của hệ thống;
b) Nhân sự quy định tại điểm a khoản này phải có bằng đại học trở lên, chuyên ngành an toàn thông tin hoặc công nghệ thông tin hoặc điện tử viễn thông.
4. Điều kiện về kỹ thuật:
a) Thiết lập hệ thống thiết bị kỹ thuật đảm bảo các yêu cầu sau:
- Lưu trữ đầy đủ, chính xác và cập nhật thông tin của thuê bao phục vụ việc cấp chứng thư số trong suốt thời gian chứng thư số có hiệu lực;
- Lưu trữ đầy đủ, chính xác, cập nhật danh sách các chứng thư số có hiệu lực, đang tạm dừng và đã hết hiệu lực và cho phép và hướng dẫn người sử dụng Internet truy nhập trực tuyến 24 giờ trong ngày và 7 ngày trong tuần;
- Đảm bảo tạo cặp khóa chỉ cho phép mỗi cặp khóa được tạo ra ngẫu nhiên và đúng một lần duy nhất; có tính năng đảm bảo khóa bí mật không bị phát hiện khi có khóa công khai tương ứng;
- Có tính năng cảnh báo, ngăn chặn và phát hiện truy nhập bất hợp pháp trên môi trường mạng;
- Được thiết kế theo xu hướng giảm thiểu tối đa sự tiếp xúc trực tiếp với môi trường Internet;
- Hệ thống phân phối khóa cho thuê bao phải đảm bảo sự toàn vẹn và bảo mật của cặp khóa. Trong trường hợp phân phối khóa thông qua môi trường mạng máy tính thì hệ thống phân phối khóa phải sử dụng các giao thức bảo mật đảm bảo không lộ thông tin trên đường truyền.
b) Có phương án kỹ thuật đáp ứng các yêu cầu đảm bảo an toàn hệ thống thông tin và các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số đang có hiệu lực;
c) Có các phương án kiểm soát sự ra vào trụ sở, quyền truy nhập hệ thống, quyền ra vào nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ ký số;
d) Có các phương án dự phòng đảm bảo duy trì hoạt động an toàn, liên tục và khắc phục khi có sự cố xảy ra;
đ) Có phương án cung cấp trực tuyến thông tin thuê bao cho Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia, phục vụ công tác quản lý nhà nước về dịch vụ chứng thực chữ ký số;
e) Toàn bộ hệ thống thiết bị sử dụng để cung cấp dịch vụ đặt tại Việt Nam;
g) Có trụ sở, nơi đặt máy móc, thiết bị phù hợp với yêu cầu của pháp luật về phòng, chống cháy, nổ; có khả năng chống chịu lũ, lụt, động đất, nhiễu điện từ, sự xâm nhập bất hợp pháp của con người;
h) Có quy chế chứng thực theo mẫu quy định tại quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia.
Điều 14. Hồ sơ cấp phép1. Đơn đề nghị cấp giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng theo Mẫu số 01 tại Phụ lục ban hành kèm theo Nghị định này.
2. Giấy xác nhận ký quỹ của một ngân hàng thương mại hoạt động tại Việt Nam. Giấy xác nhận này phải bao gồm, nhưng không giới hạn, điều khoản cam kết thanh toán vô điều kiện và không hủy ngang cho Bên nhận ký quỹ bất cứ khoản tiền nào trong giới hạn của khoản tiền ký quỹ để giải quyết các rủi ro và các khoản đền bù có thể xảy ra trong quá trình cung cấp dịch vụ do lỗi của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng và thanh toán chi phí tiếp nhận và duy trì cơ sở dữ liệu của doanh nghiệp trong trường hợp bị thu hồi giấy phép.
3. Hồ sơ nhân sự gồm: Sơ yếu lý lịch, bằng cấp, chứng chỉ của đội ngũ cán bộ kỹ thuật tham gia hoạt động cung cấp dịch vụ chứng thực chữ ký số của doanh nghiệp đáp ứng các quy định tại khoản 3 Điều 13 Nghị định này.
4. Phương án kỹ thuật nhằm đảm bảo quy định tại khoản 4 Điều 13 Nghị định này.
5. Quy chế chứng thực theo mẫu quy định tại Quy chế chứng thực của Tổ chức cung cấp chứng thực chữ ký số quốc gia.
Điều 15. Thẩm tra hồ sơ và cấp phépTrong thời hạn 50 ngày, kể từ ngày nhận được hồ sơ cấp phép hợp lệ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Công an, Ban Cơ yếu Chính phủ và các bộ, ngành có liên quan thẩm tra hồ sơ và cấp giấy phép cho doanh nghiệp trong trường hợp doanh nghiệp đáp ứng đủ các điều kiện cấp phép tại Điều 13 Nghị định này. Mẫu giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng quy định theo Mẫu số 05 tại Phụ lục ban hành kèm theo Nghị định này.
Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do.
Điều 16. Thay đổi nội dung giấy phép và cấp lại giấy phép1. Thay đổi nội dung giấy phép được thực hiện trong trường hợp doanh nghiệp thay đổi một trong các thông tin sau: người đại diện theo pháp luật, địa chỉ trụ sở, tên giao dịch.
Doanh nghiệp nộp hồ sơ đề nghị thay đổi nội dung giấy phép tại Bộ Thông tin và Truyền thông. Hồ sơ đề nghị thay đổi nội dung giấy phép gồm: Đơn đề nghị thay đổi nội dung giấy phép theo Mẫu số 02 tại Phụ lục ban hành kèm theo Nghị định này, báo cáo mô tả chi tiết nội dung đề nghị thay đổi và các tài liệu liên quan.
Trong thời hạn 15 ngày làm việc kể từ ngày nhận đủ hồ sơ hợp lệ, Bộ Thông tin và Truyền thông thẩm tra, cấp lại giấy phép cho doanh nghiệp với các nội dung thay đổi; trường hợp từ chối cấp, phải thông báo bằng văn bản và nêu rõ lý do.
Thời hạn của giấy phép thay đổi là thời hạn còn lại của giấy phép đã được cấp.
2. Trường hợp giấy phép bị mất hoặc bị hư hỏng, doanh nghiệp gửi đơn đề nghị cấp lại giấy phép theo Mẫu số 03 tại Phụ lục ban hành kèm theo Nghị định này, trong đó nêu rõ lý do tới Bộ Thông tin và Truyền thông. Trong thời hạn 07 ngày làm việc kể từ ngày nhận được đơn đề nghị, Bộ Thông tin và Truyền thông xem xét và cấp lại giấy phép cho doanh nghiệp.
Thời hạn của giấy phép cấp lại do bị mất hoặc bị hư hỏng là thời hạn còn lại của giấy phép đã được cấp.
3. Để đảm bảo tính liên tục của việc cung cấp dịch vụ, doanh nghiệp có mong muốn tiếp tục cung cấp dịch vụ phải nộp hồ sơ đề nghị cấp lại giấy phép tối thiểu 90 ngày trước ngày giấy phép hết hạn. Hồ sơ đề nghị cấp lại giấy phép do hết hạn gồm:
a) Đơn đề nghị cấp lại giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng của doanh nghiệp do giấy phép cũ hết hạn theo Mẫu số 03 tại Phụ lục ban hành kèm theo Nghị định này;
b) Giấy xác nhận ký quỹ của một ngân hàng thương mại hoạt động tại Việt Nam theo quy định tại khoản 2 Điều 14 Nghị định này;
c) Những thông tin về việc thay đổi nhân sự, kỹ thuật của doanh nghiệp liên quan đến điều kiện cấp phép theo quy định tại các khoản 3, 4 Điều 13 Nghị định này (nếu có).
Trong thời hạn 30 ngày kể từ ngày nhận được hồ sơ hợp lệ, Bộ Thông tin và Truyền thông chủ trì, phối hợp với Bộ Công an, Ban Cơ yếu Chính phủ và các Bộ, ngành có liên quan thẩm tra hồ sơ và kiểm tra việc doanh nghiệp đáp ứng các điều kiện cấp phép trên thực tế và cấp lại giấy phép cho doanh nghiệp trong trường hợp doanh nghiệp đáp ứng đủ các điều kiện cấp phép, Bộ Thông tin và Truyền thông cấp lại giấy phép cho doanh nghiệp. Trường hợp từ chối, Bộ Thông tin và Truyền thông có văn bản thông báo và nêu rõ lý do.
Thời hạn giấy phép cấp lại do hết hạn là 10 năm.
Điều 17. Tạm đình chỉ giấy phép, tạm dừng cấp chứng thư số1. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng bị tạm đình chỉ giấy phép không quá 6 tháng khi thuộc một trong các trường hợp sau:
a) Cung cấp dịch vụ sai với nội dung ghi trên giấy phép;
b) Không đáp ứng được một trong các điều kiện cấp phép quy định tại Điều 13 Nghị định này trong quá trình hoạt động cung cấp dịch vụ;
c) Không nộp đầy đủ phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư số trong 06 tháng.
2. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải tạm dừng cấp chứng thư số mới cho thuê bao thuộc một trong các trường hợp sau:
a) Giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng bị tạm đình chỉ theo khoản 1 Điều này;
b) Khi phát hiện các sai sót trong hệ thống cung cấp dịch vụ của mình có thể làm ảnh hưởng đến quyền lợi của thuê bao và người nhận.
3. Trong thời gian bị tạm đình chỉ giấy phép, nếu tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng khắc phục được lý do bị tạm đình chỉ, Bộ Thông tin và Truyền thông sẽ cho phép tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng được tiếp tục cung cấp dịch vụ.
Điều 18. Thu hồi giấy phép1. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng bị thu hồi giấy phép khi xảy ra một trong các trường hợp sau:
a) Không triển khai cung cấp dịch vụ trong thời hạn 12 tháng, kể từ ngày được cấp phép mà không có lý do chính đáng;
b) Bị giải thể hoặc phá sản theo quy định của pháp luật có liên quan;
c) Giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng đã hết hạn;
d) Không nộp đầy đủ phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư số trong 12 tháng;
đ) Không khắc phục được các điều kiện tạm đình chỉ quy định tại khoản 1 Điều 17 sau thời hạn tạm dừng ấn định bởi cơ quan nhà nước;
e) Doanh nghiệp không muốn tiếp tục cung cấp dịch vụ.
2. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng bị thu hồi giấy phép có trách nhiệm thỏa thuận để bàn giao các cơ sở dữ liệu, hồ sơ có liên quan đến hoạt động cung cấp dịch vụ và đảm bảo quyền lợi sử dụng dịch vụ của các thuê bao cho tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng khác đang hoạt động trong thời hạn không quá 30 ngày, kể từ ngày nhận được thông báo bị thu hồi giấy phép.
3. Bộ Thông tin và Truyền thông giám sát và hướng dẫn việc bàn giao giữa các tổ chức cung cấp dịch vụ chứng thực chữ ký số để đảm bảo việc sử dụng dịch vụ không bị gián đoạn của các thuê bao.
Trong trường hợp không thỏa thuận được với các tổ chức khác về việc bàn giao các cơ sở dữ liệu, hồ sơ có liên quan đến hoạt động cung cấp dịch vụ và đảm bảo việc sử dụng dịch vụ của các thuê bao, Bộ Thông tin và Truyền thông chỉ định một hoặc một số tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng thực hiện điều này. Tổ chức tiếp nhận thực hiện tiếp quyền và nghĩa vụ đối với các thuê bao và người nhận theo hợp đồng đã ký giữa thuê bao và tổ chức bị thu hồi giấy phép.
4. Chi phí tiếp nhận, duy trì cơ sở dữ liệu, hồ sơ liên quan và đảm bảo việc sử dụng dịch vụ của thuê bao được lấy từ tiền ký quỹ tại ngân hàng của tổ chức cung cấp dịch vụ chứng thực chữ ký số bị thu hồi giấy phép.
5. Sau thời hạn 03 năm kể từ ngày bị thu hồi giấy phép trừ việc thu hồi quy định tại điểm c khoản 1 Điều này, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng được quyền đề nghị cấp lại giấy phép. Điều kiện và thủ tục cấp lại thực hiện theo các quy định như trường hợp cấp mới.
Điều 19. Thời hạn chứng thư số cấp cho các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộngChứng thư số cấp cho các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có thời hạn 05 năm.
Điều 20. Điều kiện cấp chứng thư số cho các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng1. Có giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng do Bộ Thông tin và Truyền thông cấp đang còn hiệu lực.
2. Hệ thống kỹ thuật thực tế đảm bảo theo đúng hồ sơ cấp phép.
3. Khóa công khai trên chứng thư số sẽ được cấp là duy nhất và cùng cặp với khóa bí mật của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đề nghị cấp chứng thư số.
Hồ sơ cấp chứng thư số của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng bao gồm:
1. Đơn đề nghị Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia cấp chứng thư số theo Mẫu số 04 tại Phụ lục ban hành kèm theo Nghị định này.
2. Bản sao giấy phép cung cấp dịch vụ chứng thực chữ ký số công cộng.
3. Các giấy tờ khác theo quy định trong quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia.
Điều 22. Thẩm tra và cấp chứng thư số cho tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộngTrong thời hạn 30 ngày làm việc, kể từ ngày nhận được hồ sơ đề nghị cấp chứng thư số hợp lệ, Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia thẩm tra hồ sơ:
1. Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia thực hiện thẩm tra các nội dung sau:
a) Kiểm tra hệ thống kỹ thuật thực tế của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng để đảm bảo hệ thống kỹ thuật thực tế theo đúng hồ sơ cấp giấy phép;
b) Chứng kiến việc tạo cặp khóa bí mật và khóa công khai của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng để đảm bảo cặp khóa được tạo ra là an toàn theo quy định.
2. Trường hợp đáp ứng điều kiện cấp chứng thư số, Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia cấp chứng thư số. Trường hợp không đáp ứng đủ điều kiện, Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia có văn bản từ chối cấp chứng thư số và nêu rõ lý do.
3. Việc cấp chứng thư số của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia cho các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải đảm bảo tính liên tục của dịch vụ mà các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cung cấp cho thuê bao.
Mục 2: HOẠT ĐỘNG CUNG CẤP DỊCH VỤ CỦA CÁC TỔ CHỨC CUNG CẤP DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNGĐiều 23. Hồ sơ cấp chứng thư số của thuê bao
1. Đơn cấp chứng thư số theo mẫu của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
2. Giấy tờ kèm theo bao gồm:
a) Đối với cá nhân: Chứng minh nhân dân hoặc căn cước công dân hoặc hộ chiếu;
b) Đối với tổ chức: Quyết định thành lập hoặc quyết định quy định về chức năng, nhiệm vụ, quyền hạn, cơ cấu tổ chức hoặc giấy chứng nhận đăng ký doanh nghiệp hoặc giấy chứng nhận đầu tư; chứng minh nhân dân, hoặc căn cước công dân hoặc hộ chiếu của người đại diện theo pháp luật của tổ chức.
3. Cá nhân, tổ chức có quyền lựa chọn nộp bản sao từ sổ gốc, bản sao có chứng thực hoặc nộp bản sao xuất trình kèm bản chính để đối chiếu.
Điều 24. Tạo khóa và phân phối khóa cho thuê bao1. Tổ chức, cá nhân đề nghị cấp chứng thư số có thể tự tạo cặp khóa hoặc yêu cầu bằng văn bản tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tạo cặp khóa cho mình.
2. Trường hợp tổ chức, cá nhân đề nghị cấp chứng thư số tự tạo cặp khóa, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cần đảm bảo chắc chắn rằng tổ chức, cá nhân đó đã sử dụng thiết bị theo đúng tiêu chuẩn quy định để tạo ra và lưu trữ cặp khóa.
3. Trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng tạo cặp khóa, tổ chức đó phải đảm bảo sử dụng các phương thức an toàn để chuyển giao khóa bí mật đến tổ chức, cá nhân đề nghị cấp chứng thư số và chỉ được lưu bản sao của khóa bí mật khi tổ chức, cá nhân đề nghị cấp chứng thư số có yêu cầu bằng văn bản.
Điều 25. Cấp chứng thư số cho thuê bao1. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng cấp chứng thư số cho thuê bao sau khi kiểm tra được các nội dung sau đây:
a) Thông tin trong hồ sơ đề nghị cấp chứng thư số của thuê bao là chính xác;
b) Khóa công khai trên chứng thư số sẽ được cấp là duy nhất và cùng cặp với khóa bí mật của tổ chức, cá nhân đề nghị cấp chứng thư số.
2. Chứng thư số chỉ được cấp cho người đề nghị cấp và phải có đầy đủ những thông tin được quy định tại Điều 5 Nghị định này.
3. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng chỉ được công bố chứng thư số đã cấp cho thuê bao trên cơ sở dữ liệu về chứng thư số của mình sau khi có xác nhận của thuê bao về tính chính xác của thông tin trên chứng thư số đó; thời hạn để công bố chậm nhất là 24 giờ sau khi đã có xác nhận của thuê bao; trừ trường hợp có thỏa thuận khác.
4. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng không được từ chối cấp chứng thư số cho tổ chức, cá nhân đề nghị cấp chứng thư số nếu không có lý do chính đáng.
5. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải đảm bảo an toàn trong suốt quá trình tạo và chuyển giao chứng thư số cho thuê bao.
Điều 26. Gia hạn chứng thư số cho thuê bao1. Ít nhất là 30 ngày trước ngày hết hạn của chứng thư số, thuê bao có quyền yêu cầu gia hạn chứng thư số.
2. Khi nhận được yêu cầu gia hạn của thuê bao, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có nghĩa vụ hoàn thành các thủ tục gia hạn chứng thư số trước khi hết hiệu lực.
3. Trường hợp thay đổi khóa công khai trên chứng thư số được gia hạn, thuê bao phải yêu cầu rõ; việc tạo khóa, phân phối khóa và công bố chứng thư số được gia hạn thực hiện theo các quy định tại các Điều 24 và 25 Nghị định này.
Điều 27. Thay đổi cặp khóa cho thuê baoTrong trường hợp thuê bao có nhu cầu thay đổi cặp khóa, thuê bao phải có đơn đề nghị thay đổi cặp khóa. Việc tạo khóa, phân phối khóa và công bố chứng thư số với khóa công khai mới thực hiện theo các quy định tại các Điều 24 và 25 Nghị định này.
Điều 28. Tạm dừng, phục hồi chứng thư số của thuê bao1. Chứng thư số của thuê bao bị tạm dừng trong các trường hợp sau đây:
a) Khi thuê bao yêu cầu bằng văn bản và yêu cầu này đã được tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng xác minh là chính xác;
b) Khi tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có căn cứ để khẳng định rằng chứng thư số được cấp không tuân theo các quy định tại các Điều 24 và 25 Nghị định này hoặc khi phát hiện ra bất cứ sai sót nào có ảnh hưởng đến quyền lợi của thuê bao và người nhận;
c) Khi có yêu cầu của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ Thông tin và Truyền thông;
d) Theo điều kiện tạm dừng chứng thư số đã được quy định trong hợp đồng giữa thuê bao và tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
2. Khi có căn cứ tạm dừng chứng thư số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải tiến hành tạm dừng, đồng thời, thông báo ngay cho thuê bao và công bố trên cơ sở dữ liệu về chứng thư số việc tạm dừng, thời gian bắt đầu và kết thúc việc tạm dừng.
3. Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải phục hồi chứng thư số khi không còn căn cứ để tạm dừng chứng thư số hoặc thời hạn tạm dừng theo yêu cầu đã hết.
Điều 29. Thu hồi chứng thư số của thuê bao1. Chứng thư số của thuê bao bị thu hồi trong những trường hợp sau đây:
a) Khi thuê bao yêu cầu bằng văn bản và yêu cầu này đã được tổ chức cung cấp dịch vụ chứng thực chữ ký số của mình xác minh là chính xác;
b) Khi thuê bao là cá nhân đã chết hoặc mất tích theo tuyên bố của tòa án hoặc thuê bao là tổ chức giải thể hoặc phá sản theo quy định của pháp luật;
c) Khi có yêu cầu của cơ quan tiến hành tố tụng, cơ quan công an hoặc Bộ Thông tin và Truyền thông;
d) Theo điều kiện thu hồi chứng thư số đã được quy định trong hợp đồng giữa thuê bao và tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
2. Khi có căn cứ thu hồi chứng thư số, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải thu hồi chứng thư số, đồng thời, thông báo ngay cho thuê bao và công bố trên cơ sở dữ liệu về chứng thư số việc thu hồi.
Điều 30. Dịch vụ cấp dấu thời gian1. Dịch vụ cấp dấu thời gian là dịch vụ giá trị gia tăng để gắn thông tin về ngày, tháng, năm và thời gian vào thông điệp dữ liệu.
2. Dịch vụ cấp dấu thời gian được cung cấp bởi tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng. Việc cung cấp dịch vụ cấp dấu thời gian phải tuân theo các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng đối với dịch vụ cấp dấu thời gian.
3. Ngày, tháng, năm và thời gian được gắn vào thông điệp dữ liệu là ngày, tháng, năm và thời gian mà tổ chức cung cấp dịch vụ cấp dấu thời gian nhận được thông điệp dữ liệu đó và được chứng thực bởi tổ chức cung cấp dịch vụ cấp dấu thời gian.
4. Nguồn thời gian của các tổ chức cung cấp dịch vụ cấp dấu thời gian phải tuân theo các quy định của pháp luật về nguồn thời gian chuẩn quốc gia.
Điều 31. Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng1. Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng được xây dựng theo mẫu quy định trong quy chế chứng thực của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia.
2. Quy chế chứng thực của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải được công khai theo quy định tại khoản 2 Điều 33 Nghị định này.
3. Khi có sự thay đổi thông tin trong quy chế chứng thực, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải thông báo bằng văn bản đến Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia và phải được sự đồng ý bằng văn bản của Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia đối với các nội dung thay đổi.
Mục 3: NGHĨA VỤ CỦA CÁC TỔ CHỨC CUNG CẤP DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNGĐiều 32. Nghĩa vụ của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đối với thuê bao
1. Đảm bảo việc sử dụng dịch vụ của thuê bao là liên tục, không bị gián đoạn trong suốt thời gian hiệu lực của chứng thư số và việc kiểm tra trạng thái chứng thư số của thuê bao là liên tục.
2. Giải quyết các rủi ro và các khoản đền bù xảy ra cho thuê bao và người nhận trong trường hợp lỗi được xác định của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
3. Đảm bảo an toàn thông tin riêng, thông tin cá nhân và thiết bị lưu trữ chứng thư số cho thuê bao theo quy định của pháp luật về an toàn thông tin và pháp luật khác có liên quan.
4. Tiếp nhận thông tin:
Đảm bảo kênh tiếp nhận thông tin hoạt động 24 giờ trong ngày và 7 ngày trong tuần từ thuê bao liên quan đến việc sử dụng chứng thư số.
5. Liên quan đến hoạt động quản lý khóa:
a) Thông báo ngay cho thuê bao, đồng thời áp dụng những biện pháp ngăn chặn và khắc phục kịp thời trong trường hợp phát hiện thấy dấu hiệu khóa bí mật của thuê bao đã bị lộ, không còn toàn vẹn hoặc bất cứ sự sai sót nào khác có nguy cơ ảnh hưởng xấu đến quyền lợi của thuê bao;
b) Khuyến cáo cho thuê bao việc thay đổi cặp khóa khi cần thiết nhằm đảm bảo tính tin cậy và an toàn cao nhất cho cặp khóa.
6. Trong trường hợp phải tạm dừng cấp chứng thư số mới:
Trong thời gian tạm dừng, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm duy trì hệ thống cơ sở dữ liệu liên quan đến chứng thư số đã cấp.
7. Khi bị thu hồi giấy phép, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải thông báo ngay cho thuê bao về việc ngừng cung cấp dịch vụ của mình và thông tin về tổ chức tiếp nhận cơ sở dữ liệu của mình để đảm bảo quyền lợi sử dụng dịch vụ của thuê bao.
8. Xây dựng hợp đồng mẫu với thuê bao trong đó bao gồm các nội dung:
a) Phạm vi, giới hạn sử dụng, mức độ bảo mật, chi phí liên quan đến việc cấp và sử dụng chứng thư số và những thông tin khác có khả năng ảnh hưởng đến quyền lợi của thuê bao;
b) Yêu cầu đảm bảo sự an toàn trong lưu trữ và sử dụng khóa bí mật;
c) Thủ tục khiếu nại và giải quyết tranh chấp.
9. Thực hiện các quyền và nghĩa vụ của bên giao đại lý theo quy định của pháp luật về thương mại.
Điều 33. Nghĩa vụ của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đối với cơ quan quản lý nhà nước về chữ ký số và dịch vụ chứng thực chữ ký số1. Công bố thông tin:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải công khai và duy trì thông tin 24 giờ trong ngày và 7 ngày trong tuần trên trang tin điện tử của mình những thông tin sau:
a) Quy chế chứng thực và chứng thư số của mình;
b) Danh sách chứng thư số có hiệu lực, bị tạm dừng, bị thu hồi của thuê bao;
c) Những thông tin cần thiết khác theo quy định của pháp luật.
2. Cập nhật thông tin:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải cập nhật các thông tin quy định tại khoản 1 Điều này trong vòng 24 giờ khi có thay đổi.
3. Cung cấp thông tin:
Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng phải cung cấp trực tuyến theo thời gian thực cho Tổ chức cung cấp dịch vụ chứng thực chữ ký số quốc gia thông tin về số lượng chứng thư số đang có hiệu lực, bị tạm dừng, bị thu hồi để phục vụ công tác quản lý nhà nước về dịch vụ chứng thực chữ ký số.
4. Lưu trữ thông tin:
Lưu trữ toàn bộ thông tin liên quan đến việc tạm đình chỉ hoặc thu hồi giấy phép và các cơ sở dữ liệu về thuê bao, chứng thư số trong thời gian ít nhất 05 năm, kể từ khi giấy phép bị tạm đình chỉ hoặc thu hồi.
5. Nộp phí dịch vụ duy trì hệ thống kiểm tra trạng thái chứng thư số theo quy định.
6. Báo cáo định kỳ và đột xuất theo quy định của Bộ Thông tin và Truyền thông và yêu cầu của các cơ quan nhà nước có thẩm quyền.
Mục 4: ĐẠI LÝ DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNGĐiều 34. Điều kiện hoạt động của đại lý dịch vụ chứng thực chữ ký số công cộng
1. Là thương nhân bao gồm tổ chức kinh tế được thành lập hợp pháp, cá nhân hoạt động thương mại một cách độc lập, thường xuyên và có đăng ký kinh doanh.
2. Có địa chỉ cụ thể trụ sở giao dịch.
3. Có hợp đồng đại lý với tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng.
Điều 35. Quyền, nghĩa vụ của đại lý dịch vụ chứng thực chữ ký số công cộng1. Thực hiện các quyền, nghĩa vụ của đại lý theo quy định của pháp luật về thương mại.
2. Hướng dẫn đầy đủ hồ sơ, thủ tục cấp chứng thư số cho thuê bao.
3. Niêm yết công khai quy trình cấp chứng thư số tại trụ sở đại lý.
4. Bảo đảm kênh thông tin 24 giờ trong ngày và 7 ngày trong tuần để tiếp nhận yêu cầu từ thuê bao.
5. Chịu trách nhiệm báo cáo khi có yêu cầu của cơ quan chức năng nhằm phục vụ công tác quản lý nhà nước về dịch vụ chứng thực chữ ký số.
Chapter III
PUBLIC AUTHENTICATION OF DIGITAL SIGNATURES
Section 1: LICENSING OF PUBLIC AUTHENTICATION OF DIGITAL SIGNATURES
Article 11. Operating conditions
Public certification authorities are entitled to provide service if they meet the following conditions:
1. Having the licenses to public authentication of digital signatures granted by the Ministry of Post and Telecommunications.
2. Having digital certificates granted by Root Certification Authority.
Article 12. Validity period
Licenses granted to public certification authorities are valid for 10 years.
Article 13. Licensing conditions
1. Condition for license holder:
Being enterprises established under the laws of Vietnam.
2. Financial condition:
a) Depositing at a commercial bank operating in Vietnam of no less than VND 05 (five) billion to solve risks and the compensation that may occur during the course of service by a cause for which the public certification authority is responsible and make payment for expenses receiving and maintaining database of enterprises in the event of revocation of licenses.
b) Pay full maintenance fees (in case of replacement of license).
3. Condition of personnel:
a) The certification authority must have staff responsible for: administration and operation of the system and issuance of digital certificates, maintenance of information security of the system;
b) The staff prescribed in Point a of this Clause must hold a bachelor's degree or higher, majoring information security or information technology or electrical communication.
4. Technical condition:
a) Formulation of technical equipment system must ensure the following requirements:
- Storing fully, accurately and updating information of subscribers for the issuance of the digital certificates during the valid duration of digital certificates;
- Storing fully, accurately and updating list of digital certificates which are valid, suspended and invalid and allowing and guiding Internet users to access online 24 hours per day and seven days per week;
- Making sure that the creation of the key pair only allows each key pair to be generated randomly and one time; ensures that the private key is not be detected when having the respective public key;
- Having ability to alert, prevent and detect any illegal access in the network environment;
- Designed in the manner that minimizes reduction of the direct contact with the Internet environment;
- Key distribution system for subscribers must ensure the integrity and security of the key pair. In the case of key distribution through a computer network environment, the key distribution system must be used the security protocols to ensure the confidentiality of information on the transmission line.
b) Having feasible technical plans meeting requirements for information security and technical regulations and mandatory standards on digital signatures and authentication of digital signatures in force;
c) Having plans to control the entrance and exit of head offices, the right to access the system, right to enter, exit the place where the equipment is located for providing authentication of digital signatures;
d) Having contingency plans to maintain the continuous and safe operation, and deal with incidents when they occur;
dd) Having plans to provide information about subscribers online for Root Certification Authority, serving state management of authentication of digital signatures;
e) The entire system of equipment for service provision is located in Vietnam;
g) Construction of offices, places where the machinery and equipment is located in accordance with the requirements of the law on prevention and combat of fire and explosion; having ability of fighting against floods, earthquakes, electromagnetic interference, illegal intrusion of man;
h) Having authentication regulations made according to the form prescribed in authentication regulation of Root Certification Authority.
Article 14. License application dossiers
1. An application for licensing public authentication of digital signatures using form No. 01 in Appendix issued herewith.
2. Certificate of deposit made by a commercial bank operating in Vietnam. This certificate of deposit must include, but not limited to, unconditional and irrevocable clauses of payment to the receiver of the deposit any sum of money within the deposit limit to deal with risks and compensation that may occur during the course of service by a cause for which the public certification authority is responsible and make payment for expenses receiving and maintaining database of the certification authority in the event of revocation of the license.
3. Personnel dossier includes: Curriculum vitae, degrees and certificates of technical staff engaging in authentication of digital signatures that meet conditions prescribed in Clause 2 Article 13 of this Decree.
4. The technical plan in compliance with Clause 4 Article 13 of this Decree.
5. Authentication regulation made according to the form prescribed in authentication regulation of Root Certification Authority.
Article 15. Verification and licensing
Within 50 working days from the date of receipt of valid application dossier, the Ministry of Post and Telecommunications shall take charge and cooperate with the Ministry of Public Security, Government Cipher Committee and the concerned ministries, branches to verify dossier and issue a license to the applicant if it meets licensing conditions prescribed in Article 13 of this Decree. A license to provide public authentication of digital signatures is stipulated in form No. 05 in Appendix issued herewith.
In case of refusal, the Ministry of Information and Communications shall give a notice and provide explanation.
Article 16. Change of content of the license and license reissuance
1. The content of the license shall be changed if one of the following changes: legal representative, headquarters address, business name.
The license holder shall submit an application for changing content of license to the Ministry of Information and Communications. An application dossier for changing content of license includes: An application for changing content of license using Form No. 02 in Appendix issued together with, details of matters to be changed and related documents.
Within 15 working days after receiving a duly completed application, the Ministry of Information and Communications shall verify and reissue a modified license; in case of refusal, it shall send a notice and provide explanation.
The validity period of the modified license is the remaining validity period of the former license.
2. If the license is lost or damaged, the license holder shall submit an application for reissuance to the Ministry of Information and Communications using Form No. 03 in Appendix issued herewith, specifying reasons for reissuance. Within 7 working days after receiving the application, the Ministry of Information and Communications shall consider reissuing the license.
The validity period of the reissued license due to loss or damage is the remaining validity period of the former license.
3. In order to ensure the continuity of service, the license holder wishes to keep providing service shall submit an application dossier for reissuance of license at least 90 days before the license expires. Application dossier for reissuance of license going to expire includes:
a) An application of reissuance of license to provide public authentication of digital signatures because of expired former license using form No. 03 in Appendix issued herewith.
b) A certificate of deposit made by a commercial bank operating in Vietnam as prescribed in Clause 2 Article 14 of this Decree;
c) Changes in personnel, technology related to the licensing conditions as prescribed in Clause 3,4 Article 13 of this Decree (if any).
Within 30 working days from the date of receipt of valid application dossier, the Ministry of Post and Telecommunications shall take charge and cooperate with the Ministry of Public Security, Government Cipher Committee and the concerned ministries, branches to verify dossier and reissue a license to the applicant if it meets licensing conditions. In case of refusal, the Ministry of Information and Communications shall give a notice and provide explanation.
The validity period of license reissued due to the former license’s expiry is 10 years.
Article 17. Suspension of licenses, suspension of issuance of digital certificates
1. A public certification authority shall have its license suspended for a period of up to 6 months if it falls under one of the following cases:
a) Provision of false service with content stated in the license;
b) Failure to meet one of the licensing conditions in the process of service provision as prescribed in Article 13 of this Decree;
c) Failure to pay full maintenance fees in 6 months.
2. A public certification authority must suspend the issuance of new digital certificates in the following cases:
a) The license to provide public authentication of digital signatures is suspended as prescribed in Clause 1 of this Article;
b) Upon detecting the errors in the system providing its services that may affect the interests of subscribers and the recipients.
3. While the license is suspended, if the public certification authority can correct objectionable conditions, the Ministry of Information and Communications shall permit the public certification authority to keep providing service.
Article 18. Revocation of licenses
1. A public certification authority shall have its license revoked when it falls under one of the following cases:
a) Failure to provide for service within 12 months from the issuing date without any legitimate reason;
b) Being dissolved or declared bankrupt in accordance with provisions of relevant laws;
c) The license to provide the public authentication service of digital signatures has expired;
d) Failure to pay full maintenance fees in 12 months;
dd) Failure to correct objectionable conditions specified in clause 1 of Article 17 after the period of temporary suspension fixed by the state agencies;
e) The license holder does not want to keep providing service.
2. The public certification authority which had its license revoked is responsible for reaching an agreement to hand over the database relating to the provision of its service to another public certification authority that is operating within a period of not exceeding 30 days from the date of revocation of license.
3. The Ministry of Information and Communications shall supervise and guide the handover between the certification authorities to keep the services provided for subscribers uninterrupted.
If the certification authority fails to agree on such a handover with another certification authority, the Ministry of Information and Communications shall appoint one or certain public certification authorities to do that. The receiving certification authority shall keep performing rights and obligations towards subscribers and recipients under the agreement entered into between the subscribers and the former certification authority, which had its license revoked.
4. The costs of receiving and maintaining databases and assurance of continuous service provided for subscribers of shall be taken from deposit at the bank of the certification authority which has its license revoked.
5. After a period of 03 years from the date of revocation of license, except for the revocation prescribed in Point c Clause 1 of this Article, the above public certification authority may apply for reissuance of license. Conditions and procedures for reissuance are conducted according to the regulations as for the cases of applying for new issuance.
Article 19. Validity period of digital certificates granted to public certification authorities
Validity period of digital certificates granted to public certification authorities is 5 years.
Article 20. Conditions for issuance of digital certificates to public certification authorities
1. Having the license to provide public authentication of digital signatures granted by the Ministry of Post and Telecommunications which is still valid.
2. The actual technical system meets conditions as specified in the licensing application dossier.
3. Public key on the digital certificate will be issued as a unique and the same pair with private key of public certification authority applying for digital certificate.
Article 21. Application dossier for issuance of digital certificates of public certification authorities
An application dossier for issuance of digital certificates made by a public certification authority includes:
1. An application for issuance of digital certificate using form No. 04 in Appendix issued herewith to Root Certification Authority.
2. A copy of license to provide public authentication of digital signatures.
3. Other documents as prescribed in the authentication regulation of Root Certification Authority.
Article 22. Verification and issuance of digital certificates to public certification authorities
Within 30 working days after receiving a valid application dossier, Root Certification Authority shall verify the application:
1. Root Certification Authority shall verify the following:
a) Check if the actual technical system of the public certification authority meets conditions as specified in the application;
b) Witness the generation of the private key and public key of the public certification authority to ensure that they are generated in a secured manner as prescribed.
2. If the conditions for issuance of digital certificate are satisfied, Root Certification Authority shall issue a digital certificate. If the conditions are not satisfied, Root Certification Authority shall issue a written refusal with explanation.
3. The issuance of digital certificate to a public certification authority by Root Certification Authority must ensure the continuity of service provided for subscribers.
Section 2: SERVICES PROVIDED BY PUBLIC CERTIFICATION AUTHORITIES
Article 23. Application dossier for issuance digital certificates made by subscribers
1. An application for issuance of digital certificate using the form given by the public certification authority.
2. The attached documents include:
a) For individuals: ID card or citizen identification card or passport;
b) For organizations: establishment decision or decision on functions, tasks, powers and organizational structure or certificate of business registration or investment certificate; ID card, citizen identification card, or passport of legal representative.
3. Individuals and organizations may choose to submit certified copies from master register, certified true copies or certified copies together with originals in their discretion.
Article 24. Creation of the key and key distribution for subscribers
1. An applicant for issuance of digital certificate may self-create a key pair or request the public certification authority in writing to create a key pair.
2. If the applicant self-creates a key pair, the public certification authority must make sure that such applicant has used devices according to prescribed standards to create and store the key pair.
3. Where public certification authority creates a key pair, it must use safe methods to transfer the private key to the applicant and may save a copy of the private key when the applicant requests in writing.
Article 25. Issuance of digital certificates to subscribers
1. The public certification authorities may issue a digital certificate to a subscriber only if:
a) Information declared in the application for issuance of digital certificate is correct;
b) Public key on the digital certificate will be issued as a unique and the same pair with private key of the applicant for digital certificate.
2. Digital certificates are only issued to the applicants and must contain all the information prescribed in Article 5 of this Decree.
3. The public certification authority may only publish the digital certificate issued to the subscriber on the database on their digital certificates after the subscriber confirmed that the information on the digital certificate is correct; the publishing time is no later than 24 hours after the confirmation of subscription, unless otherwise agreed.
4. Public certification authorities may not refused to issue digital certificates to applicants without legitimate reason.
5. Public certification authorities must maintain security during the creation and transfer of digital certificates to subscribers.
Article 26. Renewal of digital certificates to subscribers
1. At least 30 days prior to the expiration of the digital certificate, the subscriber may request for renewal of digital certificate.
2. Upon receiving a request for renewal, the public certification authority is obliged to complete the procedures for renewal of digital certificate before subscriber’s digital certificate expires.
3. In case of changing the public key on the digital certificates renewed, the subscriber must indicate clearly it in the written requests; the creation of key, key distribution and publication of renewed digital certificate shall comply with the provisions in Article 24, Article 25 of this Decree.
Article 27. Change of key pair for subscribers
In the case a subscriber wishes to change the key pair, it must submit an application for change. The key creation, key distribution, and publication of digital certificates with the new public key comply with the provisions in Article 24, Article 25 of this Decree.
Article 28. Suspension, revalidation of digital certificates of subscribers
1. A digital certificate of subscriber shall be suspended in any of the following cases:
a) When the subscriber requests in writing and the request was verified as accurate by the public certification authority;
b) When the public certification authority has grounds to assert that the digital certificate issued not in compliance with the provisions of Article 24, Article 25 of this Decree or detecting any errors that affect the interests of the subscriber and the recipients;
c) Upon request of the agencies proceeding procedures, police authorities or the Ministry of Post and Telecommunications;
d) As a condition to suspend digital certificate as stipulated in the contract between the subscriber and public certification authority.
2. When there are grounds to suspend the digital certificate, the public certification authority must conduct the temporary suspension, and immediately notify the subscriber and publish in the database of certificates on the suspension, the starting and ending time of the suspension.
3. The public certification authority shall revalidate the digital certificate when it has no longer grounds for suspension of the certificate or the period of suspension upon request has expired.
Article 29. Revocation of digital certificates of subscribers
1. A digital certificate of a subscriber is revoked in the following cases:
a) When the subscriber requests in writing and the request was verified as accurate by the public certification authority;
b) When subscriber as individual dies or is declared missing by the declaration of court or the subscriber as an organization is dissolved or declared bankrupt according to law regulations;
c) Upon request of the agencies proceeding procedures, police authorities or the Ministry of Post and Telecommunications;
d) As a condition to revoke digital certificate as stipulated in the contract between the subscriber and public certification authority.
2. When there are grounds to revoke the digital certificate, the public certification authority must revoke the digital certificate, and immediately notify the subscriber and publish in the database of certificates on the revocation.
Article 30. Issuance of timestamp
1. Timestamp issuance service is the attachment of information on the date and month, year and time in the data message.
2. Public certification authorities have the rights to provide the service of timestamp issuance. The supply of service of timestamp issuance must comply with technical regulations and mandatory standards to apply to the service of timestamp issuance.
3. Date, month, year and time is attached to the data message is the date, month, year and time that public certification authorities receive such data messages and authenticated by the timestamp issuer.
4. Time source of timestamp issuers must comply with regulations of law on national standard time source.
Article 31. Authentication regulations of public certification authorities
1. Authentication regulations of public certification authority shall be made according to the authentication regulation of Root Certification Authority.
2. Authentication regulations of public certification authorities must be published as prescribed in Clause 2 Article 33 of this Decree.
3. If there is any change in the authentication regulation, the public certification authority shall send a notice to Root Certification Authority and request for written approval from Root Certification Authority.
Section 3: RIGHTS AND OBLIGATIONS OF PUBLIC CERTIFICATION AUTHORITY
Article 32. Obligations of public certification authorities to subscribers
1. Ensure the service provided for the subscriber is continuous, uninterrupted throughout the validity period of the digital certificate and the digital certificate’s status has been checked continuously.
2. Deal with risks and compensation for the subscriber and recipients by a cause for which the public certification authority is responsible.
3. Ensure private security, private information and storage devices of digital certificate in accordance with law on information security and relevant laws.
4. Receiving information:
Ensure information channel to receive requests from subscribers related to digital certificates to operate 24 hours per day and seven days per week.
5. Regarding key management:
a) Promptly notify subscribers and adopt measures to prevent and correct promptly in case of detecting exposure signals of the subscribers’ private keys, impaired integrity or any other error that adversely affects the interests of subscribers.
b) Recommend the subscribers on the change of key pairs as needed to ensure reliability and high security for the key pairs.
6. In a case where the issuance of new digital certificates must be suspended:
During the suspension of the issuance of new digital certificates, the public certification authorities are responsible for maintaining the database system related to digital certificates issued.
7. When a public certification authority had its license revoked, it must promptly notify subscribers of the suspension and the new certification authority to ensure interests of the subscribers.
8. Prepare model contracts with subscribers, covering:
a) Scope and limit of use, security level, expenses associated with issuance and use of digital certificates and other information which possibly prejudices interests of subscribers;
b) Requirements to ensure safety in storage and use of the private key;
c) Procedures for complaints and resolution of disputes.
9. Perform rights and obligations of the principal (in the principal-agent relationship)a as prescribed in commerce law.
Article 33. Obligations of public certification authorities to regulatory authorities of digital signatures and authentication of digital signatures
1. Information disclosure:
Public certification authorities must announce and maintain information 24 hours per day and seven days per week on their websites the following information:
a) Their authentication regulation and digital certificates;
b) List of valid, suspended, revoked digital certificates of the subscribers;
c) Other necessary information as per the law.
2. Information update:
Public certification authorities must update any changes to information prescribed in Clause 1 of this Article within 24 hours as they arise.
3. Information provision:
Public certification authorities must provide Root Certification Authority online in real time with information about number of valid, suspended or revoked digital certificates for state management of authentication of digital signatures.
4. Information storage:
Store all information about suspension or revocation of licenses and database about subscribers, digital certificates for at least 5 years, since the date of suspension or revocation.
5. Pay maintenance fees as prescribed.
6. Send reports on a periodical basis or at the request of the Ministry of Information and Communications and competent state agencies.
Section 4: PUBLIC CERTIFICATION AGENTS
Article 34. Operating conditions of public certification agents
1. Being a trader, either a business entity legally incorporated or an individual doing trade independently, regularly and having business registered.
2. Having a specific address of transaction office.
3. Having an agency agreement with a public certification authority.
Article 35. Rights and obligations of public certification agents
1. Perform rights and obligations of the agent as prescribed in commerce law.
2. Provide subscribers with guidance on application dossier, procedures for issuance of digital certificate.
3. Put up the procedure for issuance of digital certificates at the agent head office.
4. Ensure information channel to receive requests from subscribers to operate 24 hours per day and seven days per week.
5. Send reports at the request of specialized agencies for state management of authentication of digital signatures.
Tình trạng hiệu lực: Còn hiệu lực