Quy chuẩn kỹ thuật quốc gia QCVN 137:2025/BKHCN do Bộ Khoa học và Công nghệ ban hành quy định về các yêu cầu kỹ thuật và quản lý đối với dịch vụ chứng thực chữ ký số công cộng tại Việt Nam, nhằm đảm bảo an toàn, bảo mật và tính pháp lý cho các giao dịch điện tử.
Phạm vi điều chỉnh và Đối tượng áp dụng (Điều 1 và Điều 2)
Quy chuẩn xác định rõ giới hạn pháp lý và các nhóm đối tượng chịu sự điều chỉnh trực tiếp bao gồm:
- Phạm vi điều chỉnh: Quy chuẩn này quy định các yêu cầu kỹ thuật tối thiểu, tiêu chuẩn an toàn thông tin và quy trình quản lý bắt buộc đối với việc cung cấp dịch vụ chứng thực chữ ký số công cộng.
- Đối tượng áp dụng: Áp dụng đối với các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng (CA công cộng); các cơ quan, tổ chức, cá nhân phát triển, đánh giá, chứng nhận và kiểm tra chất lượng hệ thống dịch vụ chứng thực chữ ký số tại Việt Nam.
Tài liệu viện dẫn và Giải thích từ ngữ (Điều 3 và Điều 4)
Để đảm bảo tính đồng bộ và chuẩn hóa trong quá trình áp dụng, quy chuẩn đưa ra các căn cứ kỹ thuật và định nghĩa nền tảng:
- Tài liệu viện dẫn: Hệ thống các tiêu chuẩn quốc gia (TCVN), tiêu chuẩn quốc tế (ISO/IEC, ETSI) và các văn bản quy phạm pháp luật liên quan đến an toàn thông tin mạng, giao dịch điện tử. Các tài liệu này là căn cứ đối chiếu khi thực hiện đánh giá hợp quy.
- Giải thích từ ngữ: Định nghĩa chi tiết các thuật ngữ chuyên ngành cốt lõi như dịch vụ chứng thực chữ ký số công cộng, khóa bí mật (private key), khóa công khai (public key), chứng thư số, thuê bao, người ký, và hạ tầng khóa công khai (PKI). Việc làm rõ các khái niệm này giúp thống nhất cách hiểu và áp dụng thống nhất trên toàn quốc.
Định hướng yêu cầu kỹ thuật và quản lý cốt lõi
Thông qua các điều khoản đầu tiên, quy chuẩn thiết lập các nguyên tắc quản lý và kỹ thuật cơ bản đối với dịch vụ chứng thực chữ ký số công cộng:
- Tính an toàn và bảo mật: Hệ thống kỹ thuật của nhà cung cấp dịch vụ phải đảm bảo khả năng chống lại các cuộc tấn công mạng, bảo vệ an toàn tuyệt đối cho khóa bí mật của thuê bao và hệ thống cấp phát chứng thư số.
- Tính tương thích và chuẩn hóa: Công nghệ áp dụng phải tuân thủ các tiêu chuẩn quốc tế để đảm bảo khả năng liên thông, tích hợp dễ dàng với các hệ thống dịch vụ công trực tuyến và giao dịch thương mại điện tử trong và ngoài nước.
- Trách nhiệm của nhà cung cấp: Đảm bảo tính liên tục của dịch vụ, bảo mật thông tin cá nhân của khách hàng và phối hợp với các cơ quan quản lý nhà nước trong việc giám sát, thanh tra khi có yêu cầu.
Hiệu lực thi hành
Quy chuẩn kỹ thuật quốc gia QCVN 137:2025/BKHCN có hiệu lực thi hành theo lộ trình quy định của Bộ Khoa học và Công nghệ. Các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng có trách nhiệm chủ động rà soát, nâng cấp hạ tầng kỹ thuật và quy trình vận hành để đảm bảo tuân thủ đầy đủ các quy định mới ban hành.
Để sử dụng toàn bộ tiện ích nâng cao của Hệ Thống Pháp Luật vui lòng lựa chọn và đăng ký gói cước.
QCVN 137:2025/BKHCN
NATIONAL TECHNICAL REGULATION ON REQUIREMENTS FOR PUBLIC DIGITAL SIGNATURE AUTHENTICATION SERVICES
Mục lục
1. QUY ĐỊNH CHUNG
1.1. Phạm vi điều chỉnh
1.2. Đối tượng áp dụng
1.3. Tài liệu viện dẫn
1.4. Giải thích từ ngữ
1.5. Chữ viết tắt
2. QUY ĐỊNH KỸ THUẬT
2.1. Yêu cầu kỹ thuật
2.1.1. Yêu cầu đối với mật mã và chữ ký số
2.1.2. Yêu cầu đối với thông tin, dữ liệu
2.1.3. Yêu cầu đối với chứng thư chữ ký số
2.1.4. Yêu cầu đối với HSM và thiết bị mật mã, lưu khóa
2.2. Yêu cầu đối với mô hình ký số trên các phương tiện lưu khóa bí mật bằng thiết bị phần cứng
2.2.1. Yêu cầu về quy trình vận hành và kiểm soát
2.3. Yêu cầu đối với mô hình ký số từ xa ký số của khách hàng
2.3.1. Yêu cầu đối với hệ thống quản lý khóa bí mật, chứng thư chữ ký số và tạo chữ ký số của khách hàng
2.3.2. Yêu cầu về quy trình vận hành và kiểm soát
2.4. Yêu cầu đối với mô hình ký số trên thiết bị di động
2.4.1. Yêu cầu đối với chức năng và giao diện
2.4.2. Yêu cầu đối với thẻ SIM
2.4.3. Yêu cầu về quy trình vận hành và kiểm soát
3. QUY ĐỊNH VỀ QUẢN LÝ
4. TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN
5. TỔ CHỨC THỰC HIỆN
Lời nói đầu
QCVN 137:2025/BKHCN do Trung tâm Chứng thực điện tử Quốc gia biên soạn, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thẩm định, Bộ trưởng Bộ Khoa học và Công nghệ ban hành kèm theo Thông tư số ..../2025/TT- BKHCN ngày ... tháng .... năm 2025.
QUY CHUẨN KỸ THUẬT QUỐC GIA
VỀ YÊU CẦU ĐỐI VỚI DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNG
NATIONAL TECHNICAL REGULATION ON REQUIREMENTS FOR PUBLIC DIGITAL SIGNATURE AUTHENTICATION SERVICES
1. QUY ĐỊNH CHUNG
1.1. Phạm vi điều chỉnh
Quy chuẩn này quy định các yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng, yêu cầu về quy trình vận hành và kiểm soát đối với tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng bao gồm:
- Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên các phương tiện lưu khóa bí mật bằng thiết bị phần cứng;
- Dịch vụ chứng thực chữ ký số công cộng theo mô hình từ xa;
- Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên thiết bị di động.
1.2. Đối tượng áp dụng
Quy chuẩn này được áp dụng cho Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng; Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài đề nghị công nhận tại Việt Nam và các tổ chức, cá nhân có liên quan đến hoạt động cung cấp dịch vụ chứng thực chữ ký số công cộng tại Việt Nam.
Quy chuẩn này không áp dụng cho Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ.
1.3. Tài liệu viện dẫn
[1] IETF RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
[2] IETF RFC 6960: X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP
[3] ISO/IEC 15408: Information security, cybersecurity and privacy protection - Evaluation criteria for IT security (parts 1 to 3)
[4] ISO/IEC 9594-8 /Recommendation ITU-T X.509 : Information technology - Open systems interconnection - Part 8: The Directory: Public-key and attribute certificate frameworks".
[5] FIPS PUB 140-2: Security Requirements for Cryptographic Modules
[6] FIPS PUB 140-3: Security Requirements for Cryptographic Modules
[7] FIPS PUB 202: SHA-3 standard - Permutation-Based Hash and Extendable - Output Functions
[8] FIPS PUB 180-4: Secure Hash Standard
[9] FIPS PUB 197: Advanced Encryption Standard
[10] EN 419 221-5:2018: Protection Profiles for TSP Cryptographic modules - Part 5: Cryptographic Module for Trust Services requirements
[11] EN 419 221-1:2018: Trustworthy Systems Supporting Server Signing - Part 1: General system security requirements
[12] EN 419 221-2:2019: Trustworthy Systems Supporting Server Signing - Part 2: Protection Profile for QSCD for Server Signing
[13] ETSI EN 319 401: Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers
[14] ETSI EN 319 411-1: Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements
[15] ETSI TS 119 431-1: Electronic Signatures and Trust Infrastructures (ESI); Policy a
Để xem đầy đủ nội dung và sử dụng toàn bộ tiện ích của Hệ Thống Pháp Luật vui lòng lựa chọn và đăng ký gói cước.
Nếu bạn đã là thành viên, hãy bấm:
- 1Quy chuẩn kỹ thuật Quốc gia QCVN 4:2009/BKHCN về an toàn đối với thiết bị điện và điện tử do Bộ trưởng Bộ Khoa học và Công nghệ ban hành
- 2Quy chuẩn kỹ thuật Quốc gia QCVN 9:2012/BKHCN về tương thích điện từ đối với thiết bị điện và điện tử gia dụng và các mục đích tương tự do Bộ Khoa học và Công nghệ ban hành
- 3Quy chuẩn kỹ thuật quốc gia QCVN 5:2016/BQP về Chữ ký số sử dụng trong lĩnh vực ngân hàng
- 1Thông tư 28/2012/TT-BKHCN về Quy định công bố hợp chuẩn, công bố hợp quy và phương thức đánh giá sự phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật do Bộ trưởng Bộ Khoa học và Công nghệ ban hành
- 2Thông tư 03/2025/TT-BKHCN quy định thời hạn lưu trữ hồ sơ, tài liệu ngành Khoa học và Công nghệ do Bộ trưởng Bộ Khoa học và Công nghệ ban hành
- 3Thông tư 19/2025/TT-BKHCN quy định kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy do Bộ trưởng Bộ Khoa học và Công nghệ ban hành
- 4Thông tư 50/2025/TT-BKHCN về Quy chuẩn kỹ thuật quốc gia về yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng do Bộ trưởng Bộ Khoa học và Công nghệ ban hành
- 5Quy chuẩn kỹ thuật Quốc gia QCVN 4:2009/BKHCN về an toàn đối với thiết bị điện và điện tử do Bộ trưởng Bộ Khoa học và Công nghệ ban hành
- 6Quy chuẩn kỹ thuật Quốc gia QCVN 9:2012/BKHCN về tương thích điện từ đối với thiết bị điện và điện tử gia dụng và các mục đích tương tự do Bộ Khoa học và Công nghệ ban hành
- 7Tiêu chuẩn quốc gia TCVN 8709-1:2011 (ISO/IEC 15408-1:2009) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 1: Giới thiệu và mô hình tổng quát
- 8Tiêu chuẩn Việt Nam TCVN 8709-2:2011 (ISO/IEC 15408-2 : 2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 2: Các thành phần chức năng an toàn
- 9Tiêu chuẩn Việt Nam TCVN 8709-3:2011 (ISO/IEC 15408-3:2008) về Công nghệ thông tin - Các kỹ thuật an toàn - Các tiêu chí đánh giá an toàn CNTT - Phần 3: Các thành phần đảm bảo an toàn
- 10Tiêu chuẩn quốc gia TCVN 7816:2007 về Công nghệ thông tin - Kỹ thuật mật mã - Thuật toán mã dữ liệu AES
- 11Quy chuẩn kỹ thuật quốc gia QCVN 5:2016/BQP về Chữ ký số sử dụng trong lĩnh vực ngân hàng
Quy chuẩn kỹ thuật quốc gia QCVN 137:2025/BKHCN về Yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng
- Số hiệu: QCVN137:2025/BKHCN
- Loại văn bản: Quy chuẩn
- Ngày ban hành: 31/12/2025
- Nơi ban hành: Bộ Khoa học và Công nghệ
- Người ký: ***
- Ngày công báo: Đang cập nhật
- Số công báo: Đang cập nhật
- Ngày hiệu lực: 01/07/2026
- Tình trạng hiệu lực: Kiểm tra
Đơn vị chủ quản: Công ty cổ phần tư vấn đầu tư và ứng dụng công nghệ 4.0.
Chịu trách nhiệm chính: Bà Phạm Hoài Thương.
Giấy chứng nhận ĐKDN số: 0108234370, do Sở Kế hoạch và Đầu tư thành phố Hà Nội cấp ngày 18/04/2018.
Địa chỉ: Thôn Trung, Xã Phù Đổng, TP Hà Nội - VPGD: C2 Vincom, 119 Trần Duy Hưng, Phường Yên Hòa, TP Hà Nội.
Điện thoại: 024.6294.9155 - Hotline 1: 0342.799.688 - Hotline 2: 0985.426.175 - Email: info@hethongphapluat.com
