Ngày 31 tháng 12 năm 2025 – Trong nỗ lực hoàn thiện hành lang pháp lý cho các giao dịch điện tử và thúc đẩy công cuộc chuyển đổi số quốc gia, Bộ trưởng Bộ Khoa học và Công nghệ (BKHCN) đã chính thức ký ban hành ba Thông tư quan trọng. Các văn bản này thiết lập hệ thống Quy chuẩn kỹ thuật quốc gia (QCVN) đối với nhóm dịch vụ tin cậy, bao gồm: Chữ ký số công cộng, Dịch vụ cấp dấu thời gian và Dịch vụ chứng thực thông điệp dữ liệu.

Đây được coi là bước tiến then chốt nhằm cụ thể hóa Luật Giao dịch điện tử 2023 và Nghị định số 23/2025/NĐ-CP, đặt ra các tiêu chuẩn kỹ thuật khắt khe tiệm cận với các chuẩn mực quốc tế (như eIDAS của Châu Âu hay FIPS của Hoa Kỳ), đảm bảo tính an toàn, bảo mật và giá trị pháp lý cho dữ liệu số tại Việt Nam.

1. Siết chặt an ninh cho "chữ ký số" với QCVN 137:2025/BKHCN

Thông tư số 50/2025/TT-BKHCN ban hành Quy chuẩn kỹ thuật quốc gia về yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng (QCVN 137:2025/BKHCN). Quy chuẩn này thay thế các quy định cũ, mở rộng phạm vi và nâng cao yêu cầu kỹ thuật đối với ba mô hình ký số chủ đạo hiện nay:  

• Mô hình ký số truyền thống (Hardware Token): Áp dụng cho các thiết bị lưu khóa bí mật như USB Token hoặc thẻ thông minh (Smart card) do thuê bao trực tiếp sở hữu.  
• Mô hình ký số từ xa (Remote Signing): Khóa bí mật được lưu trữ tập trung tại hệ thống của nhà cung cấp dịch vụ (TSP), cho phép người dùng ký số mọi lúc, mọi nơi mà không cần thiết bị phần cứng đi kèm.  
• Mô hình ký số trên thiết bị di động (Mobile PKI): Sử dụng SIM hoặc các thành phần bảo mật trên thiết bị di động để lưu trữ khóa và tạo chữ ký.  

Yêu cầu kỹ thuật nổi bật: Để đảm bảo an toàn tuyệt đối trước các cuộc tấn công mạng ngày càng tinh vi, QCVN 137:2025/BKHCN yêu cầu bắt buộc áp dụng các tiêu chuẩn mật mã mạnh:

• Thuật toán: Phải sử dụng RSA với độ dài khóa tối thiểu 2048 bit hoặc ECDSA (đường cong Elliptic) với độ dài khóa tối thiểu 256 bit.  
• Hàm băm an toàn: Chỉ chấp nhận các thuật toán băm thế hệ mới như SHA-2 (SHA-256, SHA-384, SHA-512) hoặc SHA-3, loại bỏ hoàn toàn các hàm băm yếu như SHA-1 hay MD5.  
• Thiết bị quản lý khóa (HSM): Các thiết bị lưu trữ và xử lý khóa bí mật của nhà cung cấp dịch vụ phải đạt chuẩn FIPS PUB 140-2 Level 3 hoặc FIPS PUB 140-3 Level 3 trở lên, hoặc đạt chuẩn Common Criteria (EAL 4+) theo bộ tiêu chuẩn EN 419 221-5.  

Đối với mô hình ký số từ xa, quy trình vận hành và kiểm soát hệ thống phải tuân thủ nghiêm ngặt bộ tiêu chuẩn ETSI TS 119 431-1 và ETSI TS 119 432, đảm bảo rằng chỉ thuê bao mới có quyền kích hoạt khóa bí mật của mình.  

2. Chuẩn hóa "Dấu thời gian" – Chìa khóa chống chối bỏ với QCVN 138:2025/BKHCN

Song hành với chữ ký số, Thông tư số 51/2025/TT-BKHCN ban hành Quy chuẩn kỹ thuật quốc gia về yêu cầu đối với dịch vụ cấp dấu thời gian (QCVN 138:2025/BKHCN).  

Dịch vụ cấp dấu thời gian (Time-stamping service) đóng vai trò như một "công chứng viên điện tử" về mặt thời gian, chứng minh sự tồn tại của dữ liệu tại một thời điểm cụ thể và đảm bảo dữ liệu đó chưa bị thay đổi kể từ thời điểm đóng dấu.  

Các quy định cốt lõi:

• Nguồn thời gian chuẩn: Quy chuẩn yêu cầu các tổ chức cung cấp dịch vụ (TSP) phải sử dụng nguồn thời gian đáng tin cậy, có khả năng truy xuất và đồng bộ chính xác với chuẩn thời gian quốc gia hoặc quốc tế (UTC). Sai số thời gian phải được kiểm soát chặt chẽ để đảm bảo tính pháp lý trong các tranh chấp.  
• Giao thức quốc tế: Hệ thống cấp dấu thời gian phải tuân thủ giao thức RFC 3161 và ETSI EN 319 422. Đây là các chuẩn giao thức được chấp nhận rộng rãi trên toàn cầu, cho phép các hệ thống phần mềm (như Adobe Acrobat, Microsoft Office) tự động nhận diện và xác thực dấu thời gian.  
• An toàn khóa bí mật: Tương tự như chữ ký số, khóa bí mật dùng để ký lên các tem thời gian (Time-stamp token) cũng phải được bảo vệ trong các thiết bị phần cứng chuyên dụng (HSM) đạt chuẩn an toàn cao.  

Việc chuẩn hóa dịch vụ này sẽ giải quyết triệt để vấn đề "lùi ngày" hoặc giả mạo thời gian trong các giao dịch điện tử như hợp đồng kinh tế, hồ sơ thầu hay giao dịch ngân hàng.

3. Bảo chứng cho luồng dữ liệu với QCVN 139:2025/BKHCN

Thông tư ban hành Quy chuẩn kỹ thuật quốc gia về yêu cầu đối với dịch vụ chứng thực thông điệp dữ liệu (QCVN 139:2025/BKHCN) là mảnh ghép cuối cùng hoàn thiện bức tranh hạ tầng tin cậy.  

QCVN 139:2025/BKHCN tập trung vào hai nhóm dịch vụ chính:

1. Dịch vụ gửi, nhận thông điệp dữ liệu bảo đảm (Electronic Registered Delivery Services): Cung cấp bằng chứng pháp lý về việc ai đã gửi, gửi cho ai và vào thời điểm nào. Đặc biệt, quy chuẩn này bao gồm cả các yêu cầu kỹ thuật cho dịch vụ thư điện tử bảo đảm (Registered Electronic Mail - REM) dựa trên nền tảng tiêu chuẩn ETSI EN 319 532.  
2. Dịch vụ lưu trữ và xác nhận tính toàn vẹn dài hạn (Long-term Preservation): Đây là giải pháp cho bài toán lưu trữ tài liệu điện tử (như hóa đơn, hợp đồng) trong 10, 20 năm hoặc vĩnh viễn mà vẫn đảm bảo chữ ký số còn hiệu lực xác thực. Quy chuẩn áp dụng các kỹ thuật ký số nâng cao (như CAdES, PAdES, XAdES chuẩn lưu trữ) và cú pháp hồ sơ bằng chứng (Evidence Record Syntax - ERS) theo RFC 4998 và RFC 6283.  
   
   Quy chuẩn này tham chiếu đến các tiêu chuẩn lưu trữ quốc tế như OAIS (ISO 14721), giúp các cơ quan nhà nước và doanh nghiệp xây dựng hệ thống lưu trữ số chuẩn hóa, tránh tình trạng mất mát dữ liệu hoặc không thể đọc được dữ liệu trong tương lai.  
   
   4. Lộ trình thực hiện và Tác động đến thị trường
   
   Hiệu lực thi hành: Cả 03 Thông tư trên đều có hiệu lực thi hành kể từ ngày 01 tháng 7 năm 2026.  
   
   Thời gian chuyển tiếp: Để tránh gây xáo trộn hoạt động của các doanh nghiệp đang cung cấp dịch vụ (CA công cộng), Bộ Khoa học và Công nghệ đã đưa ra lộ trình chuyển đổi hợp lý. Cụ thể:

• Các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đang hoạt động hợp pháp có trách nhiệm rà soát, nâng cấp hệ thống và nhân lực để đáp ứng đầy đủ các quy định tại QCVN mới trước ngày 10 tháng 4 năm 2027.  
• Đối với các hồ sơ đề nghị cấp phép đã nộp trước ngày 01/07/2026 nhưng chưa được cấp phép, cơ quan quản lý sẽ tiếp tục áp dụng các quy định cũ (Thông tư 06/2015/TT-BTTTT và Thông tư 16/2019/TT-BTTTT) để xử lý.  

Tổ chức thực hiện: Trung tâm Chứng thực điện tử quốc gia (NEAC) được giao trọng trách chủ trì hướng dẫn, kiểm tra và quản lý việc thực thi các quy chuẩn này. Một điểm mới quan trọng trong các quy chuẩn này là yêu cầu về Kiểm toán kỹ thuật (Technical Audit). Các tổ chức cung cấp dịch vụ sẽ phải định kỳ chịu sự đánh giá của các tổ chức kiểm toán độc lập để chứng minh sự phù hợp với quy chuẩn, thay vì chỉ báo cáo nội bộ như trước đây.  

Việc ban hành đồng bộ 03 Quy chuẩn kỹ thuật quốc gia QCVN 137, 138 và 139 là dấu mốc quan trọng, khẳng định sự trưởng thành của hệ sinh thái số Việt Nam. Điều này không chỉ bảo vệ quyền lợi của người dùng mà còn tạo điều kiện thuận lợi cho việc công nhận lẫn nhau về chữ ký số và dịch vụ tin cậy giữa Việt Nam và các quốc gia khác trong khu vực và trên thế giới.