quy chẾ chỨng thỰc - safecert.com.vn · hồ chí minh, ngày 12 tháng 06 năm 2017 giám...
TRANSCRIPT
![Page 1: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/1.jpg)
1
COcircNG TY CỔ PHẦN CHỨNG SỐ AN TOAgraveN
--------o0o--------
QUY CHẾ CHỨNG THỰC Certificate Practices Statement (CPS)
--------- DỊCH VỤ CHỨNG THỰC CHỮ KYacute SỐ COcircNG CỘNG SAFE-CA
Tp Hồ Chiacute Minh Ngagravey 12 thaacuteng 06 năm 2017
Giaacutem đốc
Huỳnh Tấn Ngagrave
Hồ Chiacute Minh 062017
2
MỤC LỤC
I GIỚI THIỆU 7
11 Giới thiệu về tagravei liệu Quy chế chứng thực 7 12 Tecircn vagrave định danh của tagravei liệu 7 13 Thagravenh viecircn tham gia hệ thống 7 14 Phương thức sử dụng chứng thư số 9 15 Tổ chức quản lyacute chiacutenh saacutech 10
151 Tổ chức quản trị tagravei liệu 10 152 Liecircn hệ 10 153 Tổ chức phecirc chuẩn quy chế chứng thực 10 154 Thủ tục phecirc chuẩn quy chế chứng thực 10
16 Định nghĩa vagrave viết tắt 10
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ 12 21 Kho lưu trữ 12 22 Cocircng bố thocircng tin về chứng thư số 12
23 Thocircng tin về tần suất cocircng bố 12 24 Kiểm soaacutet truy cập vagraveo kho lưu trữ 12
III ĐỊNH DANH VAgrave XAacuteC THỰC 13 31 Đặt tecircn 13 32 Kiểm tra định danh khởi đầu 15
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn 15
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư số 15 323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị 15 324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật 16
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại 16
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường 16 332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi 16 333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số 17
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ 18 41 Đăng kyacute chứng thư số 18
411 Caacutec đối tượng coacute thể xin cấp chứng thư số 18 412 Đối tượng thuộc diện được cấp chứng thư số 18 413 Hồ sơ xin cấp chứng thư bao gồm 18
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn 19 42 Xử lyacute hồ sơ đăng kyacute chứng thư số 19
421 Nhận dạng vagrave xaacutec thực 19 422 Duyệt đăng kyacute cấp chứng thư số 19 423 Thời gian xử lyacute đăng kyacute cấp chứng thư số 19
43 Cấp chứng thư số 20
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số 20 432 CA tạo chứng thư số 20 433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số 20
44 Chấp nhận chứng thư số 20 441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao 20
442 Cocircng bố chứng thư số 21 443 Thocircng baacuteo sự ban hagravenh chứng thư số 21
45 Sử dụng chứng thư số vagrave cặp khoacutea 21 451 Sử dụng khoacutea biacute mật vagrave chứng thư số 21 452 Sử dụng khoacutea cocircng khai vagrave chứng thư số 21
46 Gia hạn chứng thư số 22 461 Caacutec tigravenh huống gia hạn chứng thư số 22 462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số 22 463 Xử lyacute yecircu cầu gia hạn chứng thư số 22
3
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao 22 465 Chấp nhận chứng thư số mới được gia hạn 22
466 Cocircng bố chứng thư số mới được gia hạn 23 467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec 23
47 Thu hồi vagrave đigravenh chỉ chứng thư số 23
471 Caacutec tigravenh huống thu hồi chứng thư số 23 472 Ai coacute thể yecircu cầu thu hồi chứng thư số 23 473 Thủ tục thu hồi chứng thư số 24 474 Thủ tục Thuecirc bao tự thu hồi chứng thư số 24 475 Thủ tục thu hồi chứng thư số theo yecircu cầu 24
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu 25 477 Thời hạn gửi yecircu cầu thu hồi chứng thư số 25 478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số 25 479 Kiểm tra trạng thaacutei thu hồi 25
4710 Tần suất cocircng bố CRL mới 25 4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến 25 4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến 26
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec 26 4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi 26
48 Dịch vụ về trạng thaacutei chứng thư số 26 481 Phương tiện cocircng bố 26
482 Tiacutenh sẵn sagraveng của dịch vụ 26 483 Tugravey chọn đặc biệt 26
49 Kết thuacutec thuecirc bao chứng thư số 26
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea 26
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH 27 51 Kiểm soaacutet vật lyacute 27
511 Tiacutenh sẵn sagraveng của dịch vụ 27
512 Truy cập vật lyacute 27 513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa 28
514 Phương tiện lưu trữ dữ liệu 28 515 Xử lyacute raacutec 28 516 Hệ thống dự phograveng ở địa điểm khaacutec 28
52 Caacutec thủ tục kiểm soaacutet 28 521 Những caacute nhacircn được tin tưởng 28
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm 29
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve 29
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ 29 53 Kiểm soaacutet nhacircn sự 30
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch 30 532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ 30
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA 32
541 Caacutec loại sự kiện được ghi lại 32 542 Tần suất xử lyacute nhật kyacute kiểm toaacuten 32 543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten 32 544 Bảo vệ caacutec nhật kyacute kiểm toaacuten 32 545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten 32
546 Phương thức ghi nhật kyacute kiểm toaacuten 32
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện 32
548 Đaacutenh giaacute lỗ hổng hệ thống 32 55 Lưu trữ caacutec bản ghi 32
551 Caacutec loại bản ghi được lưu trữ 32 552 Thời hạn giữ lại caacutec lưu trữ 33 553 Bảo vệ lưu trữ 33
4
554 Caacutec thủ tục sao lưu lưu trữ 33 555 Nhatilden thời gian của caacutec bản ghi 33
556 Hệ thống lưu trữ 33 557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ 33
56 Thay đổi khoacutea của CA 33
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa 33 571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa 33 572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu 33 573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ 34 574 Khả năng phục hồi hoạt động sau thảm họa 34
58 Kết thuacutec CA vagrave RA 34 VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT 35
61 Tạo cặp khoacutea vagrave cagravei đặt 35 611 Sinh cặp khoacutea 35
612 Gửi khoacutea cocircng khai cho CA 35 613 Cocircng bố khoacutea cocircng khai của CA 35 614 Độ dagravei khoacutea của thuecirc bao 36
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng 36 62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea 36
621 Tiecircu chuẩn module matilde hoacutea 36 622 Cơ chế kiểm soaacutet khoacutea biacute mật 37
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao 37 624 Dự phograveng khoacutea biacute mật 37 625 Lưu trữ khoacutea biacute mật 37
626 Chuyển khoacutea biacute mật vagraveora HSM 37
627 Phương thức kiacutech hoạt khoacutea biacute mật 37 628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật 38 629 Phương phaacutep hủy bỏ khoacutea biacute mật 38
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng 38 63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea 38
631 Lưu trữ khoacutea cocircng khai 38 632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea 38
64 Dữ liệu khởi tạo 38
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt 38 642 Bảo vệ dữ liệu kiacutech hoạt 38
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt 38
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh 38
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh 39 652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh 39
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số 39 661 Giaacutem saacutet triển khai hệ thống 39 662 Quản lyacute giaacutem saacutet an ninh 39
663 Giaacutem saacutet an ninh vograveng đời chứng thư số 39 67 Kiểm soaacutet an toagraven mạng 39 68 Daacuten nhatilden thời gian 39
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP 40 71 Hồ sơ chứng thư số 40
711 Phiecircn bản 40
712 Trường cơ bản 40
713 Trường mở rộng 40 714 Caacutec thuật toaacuten kyacute 40 715 Khuocircng dạng tecircn 41 716 Giới hạn tecircn 41 717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số 41
5
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số 41 719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại 41
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số 41 72 Hồ sơ CRL 41
721 Số phiecircn bản của CRL 41
722 CRL vagrave caacutec trường mở rộng của CRL 42 73 Hồ sơ OCSP 42
731 Phiecircn bản 42 732 Trường cơ bản 42 733 Trường mở rộng 43
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC 44 81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật 44 82 Tổ thực hiện kiểm tra hệ thống kỹ thuật 44 83 Caacutec nội dung kiểm toaacuten kỹ thuật 44
84 Xử lyacute khi phaacutet hiện sai soacutet 44 IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC 45
91 Phiacute 45
92 Traacutech nhiệm tagravei chiacutenh 45 93 Tiacutenh biacute mật của thocircng tin nghiệp vụ 45
931 Phạm vi caacutec thocircng tin biacute mật 45 932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật 45
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật 45 94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn 46
941 Kế hoạch bảo mật thocircng tin caacute nhacircn 46
942 Phạm vi caacutec thocircng tin caacute nhacircn 46
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn 46 944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật 46 945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật 46
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật 46 947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec 47
95 Quyền sở hữu triacute tuệ 47 951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi 47 952 Quyền sở hữu quy chế chứng thực 47
953 Quyền sở hữu tecircn 47 954 Quyền sở hữu khoacutea 47
96 Tuyecircn bố vagrave cam kết 47
961 Tuyecircn bố vagrave cam kết của CA 47
962 Tuyecircn bố vagrave cam kết của RA 48 963 Tuyecircn bố vagrave cam kết của thuecirc bao 48 964 Tuyecircn bố vagrave cam kết của người nhận 48 965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec 48
97 Tuyecircn bố về sự đảm bảo 49
98 Giới hạn về traacutech nhiệm 49 99 Bồi thường 49 910 Điều khoản vagrave sự kết thuacutec 49
9101 Thời hạn bắt đầu coacute hiệu lực 49 9102 Thời hạn hết hiệu lực 49
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực 50
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia 50
912 Thay đổi Quy chế chứng thực 50 9121 Thủ tục bổ sung 50 9122 Cơ chế vagrave thời hạn thocircng baacuteo 50
913 Giải quyết caacutec bất đồng tranh chấp 50 914 Luật điều chỉnh 51
6
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng 51 916 Điều khoản chung 51
917 Điều khoản khaacutec 51 X TAgraveI LIỆU THAM CHIẾU 52
101 Tiecircu chuẩn aacutep dụng 52
102 Caacutec địa chỉ lưu trữ trực tuyến 55
7
I GIỚI THIỆU
11 Giới thiệu về tagravei liệu Quy chế chứng thực
Quy chế chứng thực nagravey lagrave tuyecircn bố về mặt nguyecircn tắc của Cocircng ty cổ phần
Chứng số An Toagraven thể hiện quy trigravenh cung cấp dịch vụ chứng thực chữ kyacute số của
Cocircng ty
Nội dung của Quy chế nagravey bao gồm caacutec điều kiện quy trigravenh về mặt phaacutep lyacute
kỹ thuật vagrave kinh doanh trong quaacute trigravenh cấp phaacutet quản lyacute tạm dừng thu hồi vagrave cấp lại
mới chứng thư số cũng như việc sử dụng chứng thư số Caacutec nội dung nagravey được thực
hiện một caacutech bắt buộc đối với mọi thagravenh phần tham gia cung cấp sử dụng dịch vụ
chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An Toagraven nhằm đảm bảo tiacutenh an
toagraven bảo mật cho dịch vụ thocircng tin trecircn chứng thư số
Quy chế chứng thực nagravey được xacircy dựng tuacircn thủ theo caacutec quy định của phaacutep
luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng cộng tiecircu chuẩn RFC 3647 vagrave
caacutec quy định phaacutep luật khaacutec coacute liecircn quan
12 Tecircn vagrave định danh của tagravei liệu
Tagravei liệu nagravey do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh với tecircn gọi ldquoQuy
chế chứng thực chữ kyacute số cocircng cộng của Cocircng ty cổ phần Chứng số An Toagravenrdquo (gọi
tắt lagrave Quy chế chứng thực chữ kyacute số)
13 Thagravenh viecircn tham gia hệ thống
Caacutec thagravenh viecircn tham gia hệ thống cung cấp dịch vụ chứng thực chữ kyacute số cocircng
cộng của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Cocircng ty cổ phần Chứng số An Toagraven (viết tắt lagrave SAFE-CA) lagrave tổ chức cung
cấp dịch vụ chứng thực chữ kyacute điện tử thực hiện hoạt động cung cấp dịch vụ chứng
thực chữ kyacute số
- Đơn vị tiếp nhận yecircu cầu cấp chứng thư số vagrave xaacutec thực thocircng tin thuecirc bao RA
(viết tắt lagrave SAFE-CA RA)
- Thuecirc bao dịch vụ chứng thực chữ kyacute số lagrave tổ chức caacute nhacircn được cấp chứng
thư số chấp nhận chứng thư số vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi
trecircn chứng thư số được cấp đoacute
- Người nhận lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng
điệp dữ liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
8
Sơ đồ tổ chức hệ thống CA của Cocircng ty cổ phần Chứng số An Toagraven như sau
a) SAFE-CA
Đacircy lagrave thagravenh phần quan trọng nhất trong hệ thống lagrave bộ phận tổng thể caacutec
phần cứng phần mềm bảo mật lagravem nhiệm vụ xaacutec thực thocircng tin thuecirc bao đảm bảo
toagraven vẹn biacute mật caacutec thocircng tin nagravey Chức năng chiacutenh của SAFE-CA bao gồm
- Tạo khoacutea cocircng khai cho thuecirc bao
- Phacircn phối khoaacute cho thuecirc bao
- Tạm dừng gia hạn thu hồi khocirci phục chứng thư số của thuecirc bao
- Cung cấp cơ sở dữ liệu trực tuyến về tigravenh trạng chứng thư số quản lyacute bao
gồm danh saacutech caacutec chứng thư số đatilde cấp cograven hiệu lực đatilde hết hạn bị tạm dừng bị thu
hồi đatilde khocirci phục
- Cung cấp caacutec dịch vụ khaacutec (dịch vụ ứng dụng hellip) cho thuecirc bao vagrave người sử
dụng thocircng tin chứng thư số
Để phục vụ cho việc thực hiện caacutec chức năng trecircn của SAFE-CA thigrave việc tiếp
nhận yecircu cầu cấp gia hạn tạm dừng thu hồi khocirci phục chứng thư số vagrave xaacutec thực
thocircng tin thuecirc bao sẽ được uỷ quyền cho caacutec đơn vị chức năng lagrave SAFE-CA RA
b) SAFE-CA RA
SAFE-CA RA lagrave đơn vị được SAFE-CA uỷ quyền coacute chức năng tiếp nhận yecircu
cầu của thuecirc bao vagrave xaacutec thực thocircng tin thuecirc bao Nhiệm vụ chiacutenh của SAFE-CA RA
bao gồm
- Tiếp nhận caacutec yecircu cầu từ thuecirc bao (cấp mới gia hạn tạm dừng thu hồi khocirci
phục) vagrave chuyển yecircu cầu nagravey về SAFE-CA thocircng qua hệ thống thiết bị kết nối với
SAFE-CA vagrave phương thức nhacircn cocircng (đối với caacutec hồ sơ về thocircng tin thuecirc bao)
ROOT CA
(CA quản lyacute toagraven bộ
hệ thống PKI Việt Nam)
SAFE-CA
SAFE-CA RA-1 SAFE-CA RA-2 SAFE-CA RA-n
9
- Xaacutec thực thocircng tin thuecirc bao nhằm đảm bảo tiacutenh chiacutenh xaacutec của caacutec yecircu cầu vagrave
thocircng tin về nhacircn thacircn của thuecirc bao
c) Thuecirc bao dịch vụ chứng thực chữ kyacute số (gọi tắt lagrave thuecirc bao) lagrave caacutec tổ chứccaacute nhacircn
coacute đủ điều kiện theo quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute
số vagrave quy định tại Quy chế chứng thực chữ kyacute số nagravey đồng yacute sử dụng vagrave được Cocircng
ty cổ phần Chứng số An Toagraven SAFE-CA cấp chứng thư số
d) Người nhận Lagrave caacutec tổ chứccaacute nhacircn sử dụng dịch vụ xaacutec thực thocircng tin thuecirc bao
dịch vụ chứng thực chữ kyacute số thocircng qua hệ thống cung cấp dịch vụ chữ kyacute số của
Cocircng ty cổ phần Chứng số An Toagraven
14 Phương thức sử dụng chứng thư số
SAFE-CA cung cấp caacutec loại chứng thư số sau
Chứng thư số caacute nhacircn cho người dugraveng caacute nhacircn hoặc tổ chức doanh
nghiệp
Chứng thư số SSL
Chứng thư số Code Signing
- Caacutec chứng thư được cung cấp với caacutec độ dagravei khoacutea 512 bit 1024 bit 2048
bit 4096 bit Thời gian hiệu lực chứng thư số khoảng từ 6 thaacuteng đến 3 năm tugravey thuộc
vagraveo độ dagravei cặp khoacutea
- Mọi chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp được sử dụng
theo caacutec quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng
cộng
- Thuecirc bao phảỉ sử dụng chứng thư số đatilde được Cocircng ty cổ phần Chứng số An
Toagraven cấp đuacuteng mục điacutech đuacuteng quy định của phaacutep luật vagrave phải chịu mọi traacutech nhiệm
traacutech nhiệm khi sử dụng chứng thư số trong caacutec trường hợp đogravei hỏi mức độ an toagraven
tuyệt đối coacute ảnh hưởng trực tiếp đến mocirci trường tự nhiecircn sinh mạng con người
10
15 Tổ chức quản lyacute chiacutenh saacutech
151 Tổ chức quản trị tagravei liệu
Cocircng ty cổ phần Chứng số An Toagraven lagrave đơn vị tổ chức ban hagravenh quản lyacute toagraven
bộ Quy chế chứng thực chữ kyacute số nagravey
152 Liecircn hệ
Cocircng ty Cổ phần Chứng Số An Toagraven (SAFE-CA)
Địa chỉ X-0477 Togravea nhagrave North Towers Sunrise City 27 Nguyễn Hữu Thọ
Phường Tacircn Hưng Quận 7 TPHCM
Điện thoại 08 66823732
Email infoSAFECertcomvn
153 Tổ chức phecirc chuẩn quy chế chứng thực
- Cocircng ty cổ phần Chứng số An Toagraven thagravenh lập hội đồng đaacutenh giaacute phecirc chuẩn
nhằm mục điacutech xem xeacutet vagrave phecirc chuẩn Quy chế chứng thực chữ kyacute số nagravey
154 Thủ tục phecirc chuẩn quy chế chứng thực
Trong từng thời kỳ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng ban hagravenh
vagrave Hội đồng phecirc chuẩn sẽ phecirc chuẩn Quy chế chứng thực chữ kyacute số do bộ phận phaacutep
lyacute của Cocircng ty trigravenh lecircn Mọi thay đổi trong Quy chế chứng thực chữ kyacute số nagravey đều
phải đảm bảo tuacircn thủ đuacuteng quy định của phaacutep luật Việt Nam về dịch vụ chứng thực
chữ kyacute số cocircng cộng phugrave hợp với tiecircu chuẩn RFC 3647 vagrave đảm bảo khocircng ảnh hưởng
đến quyền lợi của thuecirc bao
Quy trigravenh thủ tục phecirc chuẩn như sau
- Bộ phận phaacutep lyacute của Cocircng ty chịu traacutech nhiệm xacircy dựng toacutem tắt tổng hợp
so saacutenh caacutec nội dung sửa đổi (nếu coacute) vagrave trigravenh lecircn Ban Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty giao bộ phận dịch vụ nghiecircn cứu kiểm tra tiacutenh khả
thi mức độ ảnh hưởng đến thuecirc bao vagrave baacuteo caacuteo lại Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty họp xem xeacutet quyết định phecirc chuẩn
16 Định nghĩa vagrave viết tắt
- Chứng thư số lagrave một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số cấp
- Chứng thư số nước ngoagravei lagrave chứng thư số do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số nước ngoagravei cấp
- ldquoChứng thư số coacute hiệu lựcrdquo lagrave chứng thư số chưa hết hạn khocircng bị tạm dừng hoặc
11
bị thu hồi
- Chữ kyacute số lagrave một dạng chữ kyacute điện tử được tạo ra bằng sự biến đổi một thocircng
điệp dữ liệu sử dụng hệ thống mật matilde khocircng đối xứng theo đoacute người coacute được thocircng điệp
dữ liệu ban đầu vagrave khoaacute cocircng khai của người kyacute coacute thể xaacutec định được chiacutenh xaacutec
+ Việc biến đổi necircu trecircn được tạo ra bằng đuacuteng khoaacute biacute mật tương ứng với khoaacute
cocircng khai trong cugraveng một cặp khoacutea
+ Sự toagraven vẹn nội dung của thocircng điệp dữ liệu kể từ khi thực hiện việc biến đổi necircu
trecircn
- ldquoDịch vụ chứng thực chữ kyacute sốrdquo lagrave một loại higravenh dịch vụ chứng thực chữ kyacute điện
tử do tổ chức cung cấp dịch vụ chứng thực chữ kyacute số cấp Dịch vụ chứng thực chữ kyacute
số bao gồm
+ Cấp gia hạn tạm dừng phục hồi vagrave thu hồi chứng thư số của thuecirc bao
+ Duy trigrave trực tuyến cơ sở dữ liệu về chứng thư số
+ Những dịch vụ khaacutec coacute liecircn quan theo quy định
- ldquoHệ thống mật matilde khocircng đối xứngrdquo lagrave hệ thống mật matilde coacute khả năng tạo được cặp
khoacutea bao gồm khoaacute biacute mật vagrave khoaacute cocircng khai
- ldquoKhoaacuterdquo lagrave một chuỗi caacutec số nhị phacircn (0 vagrave 1) dugraveng trong caacutec hệ thống mật matilde
- ldquoKhoacutea biacute mậtrdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối xứng
được dugraveng để tạo chữ kyacute số
- ldquoKhoacutea cocircng khairdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối
xứng được sử dụng để kiểm tra chữ kyacute số được tạo bởi khoaacute biacute mật tương ứng trong cặp
khoaacute
- ldquoKyacute sốrdquo lagrave việc đưa khoacutea biacute mật vagraveo một chương trigravenh phần mềm để tự động tạo
vagrave gắn chữ kyacute số vagraveo thocircng điệp dữ liệu
- ldquoNgười kyacuterdquo lagrave thuecirc bao dugraveng đuacuteng khoaacute biacute mật của migravenh để kyacute số vagraveo một thocircng
điệp dữ liệu dưới tecircn của migravenh
- ldquoNgười nhậnrdquo lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng điệp dữ
liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
- ldquoThuecirc baordquo lagrave tổ chức caacute nhacircn được cấp chứng thư số chấp nhận chứng thư số
vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi trecircn chứng thư số được cấp đoacute
- ldquoTạm dừng chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech tạm thời
từ một thời điểm xaacutec định
- ldquoThu hồi chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech vĩnh viễn
từ một thời điểm xaacutec định
12
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ
21 Kho lưu trữ
Caacutec thocircng tin về thuecirc bao vagrave chứng thư số được lưu trữ tập trung bảo mật an
toagraven hạn chế tiếp xuacutec với mocirci trường mạng Internet
Caacutec thocircng tin được lưu trữ trực tuyến lagrave caacutec thocircng tin về chiacutenh saacutech Quy chế
chứng thực chữ kyacute số CRL vagrave caacutec thocircng tin tối thiểu về chứng thư số được aacutenh xạ từ
cơ sở dữ liệu gốc necircu trecircn
22 Cocircng bố thocircng tin về chứng thư số
Cơ sở dữ liệu thocircng tin về chứng thư số của Cocircng ty cổ phần Chứng số An
Toagraven được đảm bảo duy trigrave thường xuyecircn liecircn tục cung cấp cho thuecirc bao vagrave người
nhận khả năng kiểm tra trạng thaacutei chứng thư số cũng như thocircng tin về chiacutenh saacutech
Quy chế chứng thực của Cocircng ty
Caacutec thocircng tin bao gồm
- Thocircng tin về danh saacutech chứng thư số đatilde được cấp
- Thocircng tin về danh saacutech chứng thư số đatilde bị tạm dừng thu hồi
- Thocircng tin về chiacutenh saacutech Quy chế chứng thực chữ kyacute số Địa chỉ cocircng bố
- Caacutec thocircng tin khaacutec coacute liecircn quan (mẫu hợp đồng chiacutenh saacutech hellip)
Caacutec thocircng tin trecircn sẽ được cocircng bố tại website của Cocircng ty cổ phần Chứng số
An Toagraven coacute địa chỉ wwwSAFECertcomvn
23 Thocircng tin về tần suất cocircng bố
- Đối với caacutec thocircng tin về chứng thư số được cập nhật thường xuyecircn liecircn tục
vagrave cho pheacutep truy cập 247
- Đối với caacutec thocircng tin về Quy chế chứng thực chữ kyacute số chiacutenh saacutech được cập
nhật khi coacute sự thay đổi
24 Kiểm soaacutet truy cập vagraveo kho lưu trữ
- Caacutec thocircng tin về chứng thư số được cocircng bố cocircng khai trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven chỉ cho pheacutep người sử dụng được quyền xem
download vagrave khocircng được pheacutep chỉnh sửa bổ sung
- Caacutec thocircng tin về chiacutenh saacutech quy chế chứng thực chữ kyacute số được cập nhật vagrave
cocircng bố cocircng khai khi coacute thay đổi Chỉ coacute Cocircng ty cổ phần Chứng số An Toagraven mới
coacute quyền thay đổi bổ sung cập nhật
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 2: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/2.jpg)
2
MỤC LỤC
I GIỚI THIỆU 7
11 Giới thiệu về tagravei liệu Quy chế chứng thực 7 12 Tecircn vagrave định danh của tagravei liệu 7 13 Thagravenh viecircn tham gia hệ thống 7 14 Phương thức sử dụng chứng thư số 9 15 Tổ chức quản lyacute chiacutenh saacutech 10
151 Tổ chức quản trị tagravei liệu 10 152 Liecircn hệ 10 153 Tổ chức phecirc chuẩn quy chế chứng thực 10 154 Thủ tục phecirc chuẩn quy chế chứng thực 10
16 Định nghĩa vagrave viết tắt 10
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ 12 21 Kho lưu trữ 12 22 Cocircng bố thocircng tin về chứng thư số 12
23 Thocircng tin về tần suất cocircng bố 12 24 Kiểm soaacutet truy cập vagraveo kho lưu trữ 12
III ĐỊNH DANH VAgrave XAacuteC THỰC 13 31 Đặt tecircn 13 32 Kiểm tra định danh khởi đầu 15
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn 15
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư số 15 323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị 15 324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật 16
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại 16
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường 16 332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi 16 333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số 17
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ 18 41 Đăng kyacute chứng thư số 18
411 Caacutec đối tượng coacute thể xin cấp chứng thư số 18 412 Đối tượng thuộc diện được cấp chứng thư số 18 413 Hồ sơ xin cấp chứng thư bao gồm 18
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn 19 42 Xử lyacute hồ sơ đăng kyacute chứng thư số 19
421 Nhận dạng vagrave xaacutec thực 19 422 Duyệt đăng kyacute cấp chứng thư số 19 423 Thời gian xử lyacute đăng kyacute cấp chứng thư số 19
43 Cấp chứng thư số 20
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số 20 432 CA tạo chứng thư số 20 433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số 20
44 Chấp nhận chứng thư số 20 441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao 20
442 Cocircng bố chứng thư số 21 443 Thocircng baacuteo sự ban hagravenh chứng thư số 21
45 Sử dụng chứng thư số vagrave cặp khoacutea 21 451 Sử dụng khoacutea biacute mật vagrave chứng thư số 21 452 Sử dụng khoacutea cocircng khai vagrave chứng thư số 21
46 Gia hạn chứng thư số 22 461 Caacutec tigravenh huống gia hạn chứng thư số 22 462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số 22 463 Xử lyacute yecircu cầu gia hạn chứng thư số 22
3
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao 22 465 Chấp nhận chứng thư số mới được gia hạn 22
466 Cocircng bố chứng thư số mới được gia hạn 23 467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec 23
47 Thu hồi vagrave đigravenh chỉ chứng thư số 23
471 Caacutec tigravenh huống thu hồi chứng thư số 23 472 Ai coacute thể yecircu cầu thu hồi chứng thư số 23 473 Thủ tục thu hồi chứng thư số 24 474 Thủ tục Thuecirc bao tự thu hồi chứng thư số 24 475 Thủ tục thu hồi chứng thư số theo yecircu cầu 24
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu 25 477 Thời hạn gửi yecircu cầu thu hồi chứng thư số 25 478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số 25 479 Kiểm tra trạng thaacutei thu hồi 25
4710 Tần suất cocircng bố CRL mới 25 4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến 25 4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến 26
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec 26 4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi 26
48 Dịch vụ về trạng thaacutei chứng thư số 26 481 Phương tiện cocircng bố 26
482 Tiacutenh sẵn sagraveng của dịch vụ 26 483 Tugravey chọn đặc biệt 26
49 Kết thuacutec thuecirc bao chứng thư số 26
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea 26
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH 27 51 Kiểm soaacutet vật lyacute 27
511 Tiacutenh sẵn sagraveng của dịch vụ 27
512 Truy cập vật lyacute 27 513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa 28
514 Phương tiện lưu trữ dữ liệu 28 515 Xử lyacute raacutec 28 516 Hệ thống dự phograveng ở địa điểm khaacutec 28
52 Caacutec thủ tục kiểm soaacutet 28 521 Những caacute nhacircn được tin tưởng 28
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm 29
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve 29
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ 29 53 Kiểm soaacutet nhacircn sự 30
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch 30 532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ 30
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA 32
541 Caacutec loại sự kiện được ghi lại 32 542 Tần suất xử lyacute nhật kyacute kiểm toaacuten 32 543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten 32 544 Bảo vệ caacutec nhật kyacute kiểm toaacuten 32 545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten 32
546 Phương thức ghi nhật kyacute kiểm toaacuten 32
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện 32
548 Đaacutenh giaacute lỗ hổng hệ thống 32 55 Lưu trữ caacutec bản ghi 32
551 Caacutec loại bản ghi được lưu trữ 32 552 Thời hạn giữ lại caacutec lưu trữ 33 553 Bảo vệ lưu trữ 33
4
554 Caacutec thủ tục sao lưu lưu trữ 33 555 Nhatilden thời gian của caacutec bản ghi 33
556 Hệ thống lưu trữ 33 557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ 33
56 Thay đổi khoacutea của CA 33
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa 33 571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa 33 572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu 33 573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ 34 574 Khả năng phục hồi hoạt động sau thảm họa 34
58 Kết thuacutec CA vagrave RA 34 VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT 35
61 Tạo cặp khoacutea vagrave cagravei đặt 35 611 Sinh cặp khoacutea 35
612 Gửi khoacutea cocircng khai cho CA 35 613 Cocircng bố khoacutea cocircng khai của CA 35 614 Độ dagravei khoacutea của thuecirc bao 36
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng 36 62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea 36
621 Tiecircu chuẩn module matilde hoacutea 36 622 Cơ chế kiểm soaacutet khoacutea biacute mật 37
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao 37 624 Dự phograveng khoacutea biacute mật 37 625 Lưu trữ khoacutea biacute mật 37
626 Chuyển khoacutea biacute mật vagraveora HSM 37
627 Phương thức kiacutech hoạt khoacutea biacute mật 37 628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật 38 629 Phương phaacutep hủy bỏ khoacutea biacute mật 38
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng 38 63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea 38
631 Lưu trữ khoacutea cocircng khai 38 632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea 38
64 Dữ liệu khởi tạo 38
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt 38 642 Bảo vệ dữ liệu kiacutech hoạt 38
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt 38
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh 38
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh 39 652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh 39
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số 39 661 Giaacutem saacutet triển khai hệ thống 39 662 Quản lyacute giaacutem saacutet an ninh 39
663 Giaacutem saacutet an ninh vograveng đời chứng thư số 39 67 Kiểm soaacutet an toagraven mạng 39 68 Daacuten nhatilden thời gian 39
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP 40 71 Hồ sơ chứng thư số 40
711 Phiecircn bản 40
712 Trường cơ bản 40
713 Trường mở rộng 40 714 Caacutec thuật toaacuten kyacute 40 715 Khuocircng dạng tecircn 41 716 Giới hạn tecircn 41 717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số 41
5
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số 41 719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại 41
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số 41 72 Hồ sơ CRL 41
721 Số phiecircn bản của CRL 41
722 CRL vagrave caacutec trường mở rộng của CRL 42 73 Hồ sơ OCSP 42
731 Phiecircn bản 42 732 Trường cơ bản 42 733 Trường mở rộng 43
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC 44 81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật 44 82 Tổ thực hiện kiểm tra hệ thống kỹ thuật 44 83 Caacutec nội dung kiểm toaacuten kỹ thuật 44
84 Xử lyacute khi phaacutet hiện sai soacutet 44 IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC 45
91 Phiacute 45
92 Traacutech nhiệm tagravei chiacutenh 45 93 Tiacutenh biacute mật của thocircng tin nghiệp vụ 45
931 Phạm vi caacutec thocircng tin biacute mật 45 932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật 45
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật 45 94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn 46
941 Kế hoạch bảo mật thocircng tin caacute nhacircn 46
942 Phạm vi caacutec thocircng tin caacute nhacircn 46
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn 46 944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật 46 945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật 46
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật 46 947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec 47
95 Quyền sở hữu triacute tuệ 47 951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi 47 952 Quyền sở hữu quy chế chứng thực 47
953 Quyền sở hữu tecircn 47 954 Quyền sở hữu khoacutea 47
96 Tuyecircn bố vagrave cam kết 47
961 Tuyecircn bố vagrave cam kết của CA 47
962 Tuyecircn bố vagrave cam kết của RA 48 963 Tuyecircn bố vagrave cam kết của thuecirc bao 48 964 Tuyecircn bố vagrave cam kết của người nhận 48 965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec 48
97 Tuyecircn bố về sự đảm bảo 49
98 Giới hạn về traacutech nhiệm 49 99 Bồi thường 49 910 Điều khoản vagrave sự kết thuacutec 49
9101 Thời hạn bắt đầu coacute hiệu lực 49 9102 Thời hạn hết hiệu lực 49
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực 50
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia 50
912 Thay đổi Quy chế chứng thực 50 9121 Thủ tục bổ sung 50 9122 Cơ chế vagrave thời hạn thocircng baacuteo 50
913 Giải quyết caacutec bất đồng tranh chấp 50 914 Luật điều chỉnh 51
6
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng 51 916 Điều khoản chung 51
917 Điều khoản khaacutec 51 X TAgraveI LIỆU THAM CHIẾU 52
101 Tiecircu chuẩn aacutep dụng 52
102 Caacutec địa chỉ lưu trữ trực tuyến 55
7
I GIỚI THIỆU
11 Giới thiệu về tagravei liệu Quy chế chứng thực
Quy chế chứng thực nagravey lagrave tuyecircn bố về mặt nguyecircn tắc của Cocircng ty cổ phần
Chứng số An Toagraven thể hiện quy trigravenh cung cấp dịch vụ chứng thực chữ kyacute số của
Cocircng ty
Nội dung của Quy chế nagravey bao gồm caacutec điều kiện quy trigravenh về mặt phaacutep lyacute
kỹ thuật vagrave kinh doanh trong quaacute trigravenh cấp phaacutet quản lyacute tạm dừng thu hồi vagrave cấp lại
mới chứng thư số cũng như việc sử dụng chứng thư số Caacutec nội dung nagravey được thực
hiện một caacutech bắt buộc đối với mọi thagravenh phần tham gia cung cấp sử dụng dịch vụ
chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An Toagraven nhằm đảm bảo tiacutenh an
toagraven bảo mật cho dịch vụ thocircng tin trecircn chứng thư số
Quy chế chứng thực nagravey được xacircy dựng tuacircn thủ theo caacutec quy định của phaacutep
luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng cộng tiecircu chuẩn RFC 3647 vagrave
caacutec quy định phaacutep luật khaacutec coacute liecircn quan
12 Tecircn vagrave định danh của tagravei liệu
Tagravei liệu nagravey do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh với tecircn gọi ldquoQuy
chế chứng thực chữ kyacute số cocircng cộng của Cocircng ty cổ phần Chứng số An Toagravenrdquo (gọi
tắt lagrave Quy chế chứng thực chữ kyacute số)
13 Thagravenh viecircn tham gia hệ thống
Caacutec thagravenh viecircn tham gia hệ thống cung cấp dịch vụ chứng thực chữ kyacute số cocircng
cộng của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Cocircng ty cổ phần Chứng số An Toagraven (viết tắt lagrave SAFE-CA) lagrave tổ chức cung
cấp dịch vụ chứng thực chữ kyacute điện tử thực hiện hoạt động cung cấp dịch vụ chứng
thực chữ kyacute số
- Đơn vị tiếp nhận yecircu cầu cấp chứng thư số vagrave xaacutec thực thocircng tin thuecirc bao RA
(viết tắt lagrave SAFE-CA RA)
- Thuecirc bao dịch vụ chứng thực chữ kyacute số lagrave tổ chức caacute nhacircn được cấp chứng
thư số chấp nhận chứng thư số vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi
trecircn chứng thư số được cấp đoacute
- Người nhận lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng
điệp dữ liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
8
Sơ đồ tổ chức hệ thống CA của Cocircng ty cổ phần Chứng số An Toagraven như sau
a) SAFE-CA
Đacircy lagrave thagravenh phần quan trọng nhất trong hệ thống lagrave bộ phận tổng thể caacutec
phần cứng phần mềm bảo mật lagravem nhiệm vụ xaacutec thực thocircng tin thuecirc bao đảm bảo
toagraven vẹn biacute mật caacutec thocircng tin nagravey Chức năng chiacutenh của SAFE-CA bao gồm
- Tạo khoacutea cocircng khai cho thuecirc bao
- Phacircn phối khoaacute cho thuecirc bao
- Tạm dừng gia hạn thu hồi khocirci phục chứng thư số của thuecirc bao
- Cung cấp cơ sở dữ liệu trực tuyến về tigravenh trạng chứng thư số quản lyacute bao
gồm danh saacutech caacutec chứng thư số đatilde cấp cograven hiệu lực đatilde hết hạn bị tạm dừng bị thu
hồi đatilde khocirci phục
- Cung cấp caacutec dịch vụ khaacutec (dịch vụ ứng dụng hellip) cho thuecirc bao vagrave người sử
dụng thocircng tin chứng thư số
Để phục vụ cho việc thực hiện caacutec chức năng trecircn của SAFE-CA thigrave việc tiếp
nhận yecircu cầu cấp gia hạn tạm dừng thu hồi khocirci phục chứng thư số vagrave xaacutec thực
thocircng tin thuecirc bao sẽ được uỷ quyền cho caacutec đơn vị chức năng lagrave SAFE-CA RA
b) SAFE-CA RA
SAFE-CA RA lagrave đơn vị được SAFE-CA uỷ quyền coacute chức năng tiếp nhận yecircu
cầu của thuecirc bao vagrave xaacutec thực thocircng tin thuecirc bao Nhiệm vụ chiacutenh của SAFE-CA RA
bao gồm
- Tiếp nhận caacutec yecircu cầu từ thuecirc bao (cấp mới gia hạn tạm dừng thu hồi khocirci
phục) vagrave chuyển yecircu cầu nagravey về SAFE-CA thocircng qua hệ thống thiết bị kết nối với
SAFE-CA vagrave phương thức nhacircn cocircng (đối với caacutec hồ sơ về thocircng tin thuecirc bao)
ROOT CA
(CA quản lyacute toagraven bộ
hệ thống PKI Việt Nam)
SAFE-CA
SAFE-CA RA-1 SAFE-CA RA-2 SAFE-CA RA-n
9
- Xaacutec thực thocircng tin thuecirc bao nhằm đảm bảo tiacutenh chiacutenh xaacutec của caacutec yecircu cầu vagrave
thocircng tin về nhacircn thacircn của thuecirc bao
c) Thuecirc bao dịch vụ chứng thực chữ kyacute số (gọi tắt lagrave thuecirc bao) lagrave caacutec tổ chứccaacute nhacircn
coacute đủ điều kiện theo quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute
số vagrave quy định tại Quy chế chứng thực chữ kyacute số nagravey đồng yacute sử dụng vagrave được Cocircng
ty cổ phần Chứng số An Toagraven SAFE-CA cấp chứng thư số
d) Người nhận Lagrave caacutec tổ chứccaacute nhacircn sử dụng dịch vụ xaacutec thực thocircng tin thuecirc bao
dịch vụ chứng thực chữ kyacute số thocircng qua hệ thống cung cấp dịch vụ chữ kyacute số của
Cocircng ty cổ phần Chứng số An Toagraven
14 Phương thức sử dụng chứng thư số
SAFE-CA cung cấp caacutec loại chứng thư số sau
Chứng thư số caacute nhacircn cho người dugraveng caacute nhacircn hoặc tổ chức doanh
nghiệp
Chứng thư số SSL
Chứng thư số Code Signing
- Caacutec chứng thư được cung cấp với caacutec độ dagravei khoacutea 512 bit 1024 bit 2048
bit 4096 bit Thời gian hiệu lực chứng thư số khoảng từ 6 thaacuteng đến 3 năm tugravey thuộc
vagraveo độ dagravei cặp khoacutea
- Mọi chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp được sử dụng
theo caacutec quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng
cộng
- Thuecirc bao phảỉ sử dụng chứng thư số đatilde được Cocircng ty cổ phần Chứng số An
Toagraven cấp đuacuteng mục điacutech đuacuteng quy định của phaacutep luật vagrave phải chịu mọi traacutech nhiệm
traacutech nhiệm khi sử dụng chứng thư số trong caacutec trường hợp đogravei hỏi mức độ an toagraven
tuyệt đối coacute ảnh hưởng trực tiếp đến mocirci trường tự nhiecircn sinh mạng con người
10
15 Tổ chức quản lyacute chiacutenh saacutech
151 Tổ chức quản trị tagravei liệu
Cocircng ty cổ phần Chứng số An Toagraven lagrave đơn vị tổ chức ban hagravenh quản lyacute toagraven
bộ Quy chế chứng thực chữ kyacute số nagravey
152 Liecircn hệ
Cocircng ty Cổ phần Chứng Số An Toagraven (SAFE-CA)
Địa chỉ X-0477 Togravea nhagrave North Towers Sunrise City 27 Nguyễn Hữu Thọ
Phường Tacircn Hưng Quận 7 TPHCM
Điện thoại 08 66823732
Email infoSAFECertcomvn
153 Tổ chức phecirc chuẩn quy chế chứng thực
- Cocircng ty cổ phần Chứng số An Toagraven thagravenh lập hội đồng đaacutenh giaacute phecirc chuẩn
nhằm mục điacutech xem xeacutet vagrave phecirc chuẩn Quy chế chứng thực chữ kyacute số nagravey
154 Thủ tục phecirc chuẩn quy chế chứng thực
Trong từng thời kỳ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng ban hagravenh
vagrave Hội đồng phecirc chuẩn sẽ phecirc chuẩn Quy chế chứng thực chữ kyacute số do bộ phận phaacutep
lyacute của Cocircng ty trigravenh lecircn Mọi thay đổi trong Quy chế chứng thực chữ kyacute số nagravey đều
phải đảm bảo tuacircn thủ đuacuteng quy định của phaacutep luật Việt Nam về dịch vụ chứng thực
chữ kyacute số cocircng cộng phugrave hợp với tiecircu chuẩn RFC 3647 vagrave đảm bảo khocircng ảnh hưởng
đến quyền lợi của thuecirc bao
Quy trigravenh thủ tục phecirc chuẩn như sau
- Bộ phận phaacutep lyacute của Cocircng ty chịu traacutech nhiệm xacircy dựng toacutem tắt tổng hợp
so saacutenh caacutec nội dung sửa đổi (nếu coacute) vagrave trigravenh lecircn Ban Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty giao bộ phận dịch vụ nghiecircn cứu kiểm tra tiacutenh khả
thi mức độ ảnh hưởng đến thuecirc bao vagrave baacuteo caacuteo lại Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty họp xem xeacutet quyết định phecirc chuẩn
16 Định nghĩa vagrave viết tắt
- Chứng thư số lagrave một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số cấp
- Chứng thư số nước ngoagravei lagrave chứng thư số do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số nước ngoagravei cấp
- ldquoChứng thư số coacute hiệu lựcrdquo lagrave chứng thư số chưa hết hạn khocircng bị tạm dừng hoặc
11
bị thu hồi
- Chữ kyacute số lagrave một dạng chữ kyacute điện tử được tạo ra bằng sự biến đổi một thocircng
điệp dữ liệu sử dụng hệ thống mật matilde khocircng đối xứng theo đoacute người coacute được thocircng điệp
dữ liệu ban đầu vagrave khoaacute cocircng khai của người kyacute coacute thể xaacutec định được chiacutenh xaacutec
+ Việc biến đổi necircu trecircn được tạo ra bằng đuacuteng khoaacute biacute mật tương ứng với khoaacute
cocircng khai trong cugraveng một cặp khoacutea
+ Sự toagraven vẹn nội dung của thocircng điệp dữ liệu kể từ khi thực hiện việc biến đổi necircu
trecircn
- ldquoDịch vụ chứng thực chữ kyacute sốrdquo lagrave một loại higravenh dịch vụ chứng thực chữ kyacute điện
tử do tổ chức cung cấp dịch vụ chứng thực chữ kyacute số cấp Dịch vụ chứng thực chữ kyacute
số bao gồm
+ Cấp gia hạn tạm dừng phục hồi vagrave thu hồi chứng thư số của thuecirc bao
+ Duy trigrave trực tuyến cơ sở dữ liệu về chứng thư số
+ Những dịch vụ khaacutec coacute liecircn quan theo quy định
- ldquoHệ thống mật matilde khocircng đối xứngrdquo lagrave hệ thống mật matilde coacute khả năng tạo được cặp
khoacutea bao gồm khoaacute biacute mật vagrave khoaacute cocircng khai
- ldquoKhoaacuterdquo lagrave một chuỗi caacutec số nhị phacircn (0 vagrave 1) dugraveng trong caacutec hệ thống mật matilde
- ldquoKhoacutea biacute mậtrdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối xứng
được dugraveng để tạo chữ kyacute số
- ldquoKhoacutea cocircng khairdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối
xứng được sử dụng để kiểm tra chữ kyacute số được tạo bởi khoaacute biacute mật tương ứng trong cặp
khoaacute
- ldquoKyacute sốrdquo lagrave việc đưa khoacutea biacute mật vagraveo một chương trigravenh phần mềm để tự động tạo
vagrave gắn chữ kyacute số vagraveo thocircng điệp dữ liệu
- ldquoNgười kyacuterdquo lagrave thuecirc bao dugraveng đuacuteng khoaacute biacute mật của migravenh để kyacute số vagraveo một thocircng
điệp dữ liệu dưới tecircn của migravenh
- ldquoNgười nhậnrdquo lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng điệp dữ
liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
- ldquoThuecirc baordquo lagrave tổ chức caacute nhacircn được cấp chứng thư số chấp nhận chứng thư số
vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi trecircn chứng thư số được cấp đoacute
- ldquoTạm dừng chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech tạm thời
từ một thời điểm xaacutec định
- ldquoThu hồi chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech vĩnh viễn
từ một thời điểm xaacutec định
12
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ
21 Kho lưu trữ
Caacutec thocircng tin về thuecirc bao vagrave chứng thư số được lưu trữ tập trung bảo mật an
toagraven hạn chế tiếp xuacutec với mocirci trường mạng Internet
Caacutec thocircng tin được lưu trữ trực tuyến lagrave caacutec thocircng tin về chiacutenh saacutech Quy chế
chứng thực chữ kyacute số CRL vagrave caacutec thocircng tin tối thiểu về chứng thư số được aacutenh xạ từ
cơ sở dữ liệu gốc necircu trecircn
22 Cocircng bố thocircng tin về chứng thư số
Cơ sở dữ liệu thocircng tin về chứng thư số của Cocircng ty cổ phần Chứng số An
Toagraven được đảm bảo duy trigrave thường xuyecircn liecircn tục cung cấp cho thuecirc bao vagrave người
nhận khả năng kiểm tra trạng thaacutei chứng thư số cũng như thocircng tin về chiacutenh saacutech
Quy chế chứng thực của Cocircng ty
Caacutec thocircng tin bao gồm
- Thocircng tin về danh saacutech chứng thư số đatilde được cấp
- Thocircng tin về danh saacutech chứng thư số đatilde bị tạm dừng thu hồi
- Thocircng tin về chiacutenh saacutech Quy chế chứng thực chữ kyacute số Địa chỉ cocircng bố
- Caacutec thocircng tin khaacutec coacute liecircn quan (mẫu hợp đồng chiacutenh saacutech hellip)
Caacutec thocircng tin trecircn sẽ được cocircng bố tại website của Cocircng ty cổ phần Chứng số
An Toagraven coacute địa chỉ wwwSAFECertcomvn
23 Thocircng tin về tần suất cocircng bố
- Đối với caacutec thocircng tin về chứng thư số được cập nhật thường xuyecircn liecircn tục
vagrave cho pheacutep truy cập 247
- Đối với caacutec thocircng tin về Quy chế chứng thực chữ kyacute số chiacutenh saacutech được cập
nhật khi coacute sự thay đổi
24 Kiểm soaacutet truy cập vagraveo kho lưu trữ
- Caacutec thocircng tin về chứng thư số được cocircng bố cocircng khai trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven chỉ cho pheacutep người sử dụng được quyền xem
download vagrave khocircng được pheacutep chỉnh sửa bổ sung
- Caacutec thocircng tin về chiacutenh saacutech quy chế chứng thực chữ kyacute số được cập nhật vagrave
cocircng bố cocircng khai khi coacute thay đổi Chỉ coacute Cocircng ty cổ phần Chứng số An Toagraven mới
coacute quyền thay đổi bổ sung cập nhật
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 3: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/3.jpg)
3
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao 22 465 Chấp nhận chứng thư số mới được gia hạn 22
466 Cocircng bố chứng thư số mới được gia hạn 23 467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec 23
47 Thu hồi vagrave đigravenh chỉ chứng thư số 23
471 Caacutec tigravenh huống thu hồi chứng thư số 23 472 Ai coacute thể yecircu cầu thu hồi chứng thư số 23 473 Thủ tục thu hồi chứng thư số 24 474 Thủ tục Thuecirc bao tự thu hồi chứng thư số 24 475 Thủ tục thu hồi chứng thư số theo yecircu cầu 24
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu 25 477 Thời hạn gửi yecircu cầu thu hồi chứng thư số 25 478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số 25 479 Kiểm tra trạng thaacutei thu hồi 25
4710 Tần suất cocircng bố CRL mới 25 4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến 25 4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến 26
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec 26 4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi 26
48 Dịch vụ về trạng thaacutei chứng thư số 26 481 Phương tiện cocircng bố 26
482 Tiacutenh sẵn sagraveng của dịch vụ 26 483 Tugravey chọn đặc biệt 26
49 Kết thuacutec thuecirc bao chứng thư số 26
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea 26
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH 27 51 Kiểm soaacutet vật lyacute 27
511 Tiacutenh sẵn sagraveng của dịch vụ 27
512 Truy cập vật lyacute 27 513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa 28
514 Phương tiện lưu trữ dữ liệu 28 515 Xử lyacute raacutec 28 516 Hệ thống dự phograveng ở địa điểm khaacutec 28
52 Caacutec thủ tục kiểm soaacutet 28 521 Những caacute nhacircn được tin tưởng 28
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm 29
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve 29
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ 29 53 Kiểm soaacutet nhacircn sự 30
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch 30 532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ 30
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA 32
541 Caacutec loại sự kiện được ghi lại 32 542 Tần suất xử lyacute nhật kyacute kiểm toaacuten 32 543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten 32 544 Bảo vệ caacutec nhật kyacute kiểm toaacuten 32 545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten 32
546 Phương thức ghi nhật kyacute kiểm toaacuten 32
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện 32
548 Đaacutenh giaacute lỗ hổng hệ thống 32 55 Lưu trữ caacutec bản ghi 32
551 Caacutec loại bản ghi được lưu trữ 32 552 Thời hạn giữ lại caacutec lưu trữ 33 553 Bảo vệ lưu trữ 33
4
554 Caacutec thủ tục sao lưu lưu trữ 33 555 Nhatilden thời gian của caacutec bản ghi 33
556 Hệ thống lưu trữ 33 557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ 33
56 Thay đổi khoacutea của CA 33
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa 33 571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa 33 572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu 33 573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ 34 574 Khả năng phục hồi hoạt động sau thảm họa 34
58 Kết thuacutec CA vagrave RA 34 VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT 35
61 Tạo cặp khoacutea vagrave cagravei đặt 35 611 Sinh cặp khoacutea 35
612 Gửi khoacutea cocircng khai cho CA 35 613 Cocircng bố khoacutea cocircng khai của CA 35 614 Độ dagravei khoacutea của thuecirc bao 36
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng 36 62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea 36
621 Tiecircu chuẩn module matilde hoacutea 36 622 Cơ chế kiểm soaacutet khoacutea biacute mật 37
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao 37 624 Dự phograveng khoacutea biacute mật 37 625 Lưu trữ khoacutea biacute mật 37
626 Chuyển khoacutea biacute mật vagraveora HSM 37
627 Phương thức kiacutech hoạt khoacutea biacute mật 37 628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật 38 629 Phương phaacutep hủy bỏ khoacutea biacute mật 38
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng 38 63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea 38
631 Lưu trữ khoacutea cocircng khai 38 632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea 38
64 Dữ liệu khởi tạo 38
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt 38 642 Bảo vệ dữ liệu kiacutech hoạt 38
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt 38
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh 38
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh 39 652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh 39
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số 39 661 Giaacutem saacutet triển khai hệ thống 39 662 Quản lyacute giaacutem saacutet an ninh 39
663 Giaacutem saacutet an ninh vograveng đời chứng thư số 39 67 Kiểm soaacutet an toagraven mạng 39 68 Daacuten nhatilden thời gian 39
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP 40 71 Hồ sơ chứng thư số 40
711 Phiecircn bản 40
712 Trường cơ bản 40
713 Trường mở rộng 40 714 Caacutec thuật toaacuten kyacute 40 715 Khuocircng dạng tecircn 41 716 Giới hạn tecircn 41 717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số 41
5
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số 41 719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại 41
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số 41 72 Hồ sơ CRL 41
721 Số phiecircn bản của CRL 41
722 CRL vagrave caacutec trường mở rộng của CRL 42 73 Hồ sơ OCSP 42
731 Phiecircn bản 42 732 Trường cơ bản 42 733 Trường mở rộng 43
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC 44 81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật 44 82 Tổ thực hiện kiểm tra hệ thống kỹ thuật 44 83 Caacutec nội dung kiểm toaacuten kỹ thuật 44
84 Xử lyacute khi phaacutet hiện sai soacutet 44 IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC 45
91 Phiacute 45
92 Traacutech nhiệm tagravei chiacutenh 45 93 Tiacutenh biacute mật của thocircng tin nghiệp vụ 45
931 Phạm vi caacutec thocircng tin biacute mật 45 932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật 45
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật 45 94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn 46
941 Kế hoạch bảo mật thocircng tin caacute nhacircn 46
942 Phạm vi caacutec thocircng tin caacute nhacircn 46
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn 46 944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật 46 945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật 46
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật 46 947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec 47
95 Quyền sở hữu triacute tuệ 47 951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi 47 952 Quyền sở hữu quy chế chứng thực 47
953 Quyền sở hữu tecircn 47 954 Quyền sở hữu khoacutea 47
96 Tuyecircn bố vagrave cam kết 47
961 Tuyecircn bố vagrave cam kết của CA 47
962 Tuyecircn bố vagrave cam kết của RA 48 963 Tuyecircn bố vagrave cam kết của thuecirc bao 48 964 Tuyecircn bố vagrave cam kết của người nhận 48 965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec 48
97 Tuyecircn bố về sự đảm bảo 49
98 Giới hạn về traacutech nhiệm 49 99 Bồi thường 49 910 Điều khoản vagrave sự kết thuacutec 49
9101 Thời hạn bắt đầu coacute hiệu lực 49 9102 Thời hạn hết hiệu lực 49
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực 50
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia 50
912 Thay đổi Quy chế chứng thực 50 9121 Thủ tục bổ sung 50 9122 Cơ chế vagrave thời hạn thocircng baacuteo 50
913 Giải quyết caacutec bất đồng tranh chấp 50 914 Luật điều chỉnh 51
6
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng 51 916 Điều khoản chung 51
917 Điều khoản khaacutec 51 X TAgraveI LIỆU THAM CHIẾU 52
101 Tiecircu chuẩn aacutep dụng 52
102 Caacutec địa chỉ lưu trữ trực tuyến 55
7
I GIỚI THIỆU
11 Giới thiệu về tagravei liệu Quy chế chứng thực
Quy chế chứng thực nagravey lagrave tuyecircn bố về mặt nguyecircn tắc của Cocircng ty cổ phần
Chứng số An Toagraven thể hiện quy trigravenh cung cấp dịch vụ chứng thực chữ kyacute số của
Cocircng ty
Nội dung của Quy chế nagravey bao gồm caacutec điều kiện quy trigravenh về mặt phaacutep lyacute
kỹ thuật vagrave kinh doanh trong quaacute trigravenh cấp phaacutet quản lyacute tạm dừng thu hồi vagrave cấp lại
mới chứng thư số cũng như việc sử dụng chứng thư số Caacutec nội dung nagravey được thực
hiện một caacutech bắt buộc đối với mọi thagravenh phần tham gia cung cấp sử dụng dịch vụ
chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An Toagraven nhằm đảm bảo tiacutenh an
toagraven bảo mật cho dịch vụ thocircng tin trecircn chứng thư số
Quy chế chứng thực nagravey được xacircy dựng tuacircn thủ theo caacutec quy định của phaacutep
luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng cộng tiecircu chuẩn RFC 3647 vagrave
caacutec quy định phaacutep luật khaacutec coacute liecircn quan
12 Tecircn vagrave định danh của tagravei liệu
Tagravei liệu nagravey do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh với tecircn gọi ldquoQuy
chế chứng thực chữ kyacute số cocircng cộng của Cocircng ty cổ phần Chứng số An Toagravenrdquo (gọi
tắt lagrave Quy chế chứng thực chữ kyacute số)
13 Thagravenh viecircn tham gia hệ thống
Caacutec thagravenh viecircn tham gia hệ thống cung cấp dịch vụ chứng thực chữ kyacute số cocircng
cộng của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Cocircng ty cổ phần Chứng số An Toagraven (viết tắt lagrave SAFE-CA) lagrave tổ chức cung
cấp dịch vụ chứng thực chữ kyacute điện tử thực hiện hoạt động cung cấp dịch vụ chứng
thực chữ kyacute số
- Đơn vị tiếp nhận yecircu cầu cấp chứng thư số vagrave xaacutec thực thocircng tin thuecirc bao RA
(viết tắt lagrave SAFE-CA RA)
- Thuecirc bao dịch vụ chứng thực chữ kyacute số lagrave tổ chức caacute nhacircn được cấp chứng
thư số chấp nhận chứng thư số vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi
trecircn chứng thư số được cấp đoacute
- Người nhận lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng
điệp dữ liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
8
Sơ đồ tổ chức hệ thống CA của Cocircng ty cổ phần Chứng số An Toagraven như sau
a) SAFE-CA
Đacircy lagrave thagravenh phần quan trọng nhất trong hệ thống lagrave bộ phận tổng thể caacutec
phần cứng phần mềm bảo mật lagravem nhiệm vụ xaacutec thực thocircng tin thuecirc bao đảm bảo
toagraven vẹn biacute mật caacutec thocircng tin nagravey Chức năng chiacutenh của SAFE-CA bao gồm
- Tạo khoacutea cocircng khai cho thuecirc bao
- Phacircn phối khoaacute cho thuecirc bao
- Tạm dừng gia hạn thu hồi khocirci phục chứng thư số của thuecirc bao
- Cung cấp cơ sở dữ liệu trực tuyến về tigravenh trạng chứng thư số quản lyacute bao
gồm danh saacutech caacutec chứng thư số đatilde cấp cograven hiệu lực đatilde hết hạn bị tạm dừng bị thu
hồi đatilde khocirci phục
- Cung cấp caacutec dịch vụ khaacutec (dịch vụ ứng dụng hellip) cho thuecirc bao vagrave người sử
dụng thocircng tin chứng thư số
Để phục vụ cho việc thực hiện caacutec chức năng trecircn của SAFE-CA thigrave việc tiếp
nhận yecircu cầu cấp gia hạn tạm dừng thu hồi khocirci phục chứng thư số vagrave xaacutec thực
thocircng tin thuecirc bao sẽ được uỷ quyền cho caacutec đơn vị chức năng lagrave SAFE-CA RA
b) SAFE-CA RA
SAFE-CA RA lagrave đơn vị được SAFE-CA uỷ quyền coacute chức năng tiếp nhận yecircu
cầu của thuecirc bao vagrave xaacutec thực thocircng tin thuecirc bao Nhiệm vụ chiacutenh của SAFE-CA RA
bao gồm
- Tiếp nhận caacutec yecircu cầu từ thuecirc bao (cấp mới gia hạn tạm dừng thu hồi khocirci
phục) vagrave chuyển yecircu cầu nagravey về SAFE-CA thocircng qua hệ thống thiết bị kết nối với
SAFE-CA vagrave phương thức nhacircn cocircng (đối với caacutec hồ sơ về thocircng tin thuecirc bao)
ROOT CA
(CA quản lyacute toagraven bộ
hệ thống PKI Việt Nam)
SAFE-CA
SAFE-CA RA-1 SAFE-CA RA-2 SAFE-CA RA-n
9
- Xaacutec thực thocircng tin thuecirc bao nhằm đảm bảo tiacutenh chiacutenh xaacutec của caacutec yecircu cầu vagrave
thocircng tin về nhacircn thacircn của thuecirc bao
c) Thuecirc bao dịch vụ chứng thực chữ kyacute số (gọi tắt lagrave thuecirc bao) lagrave caacutec tổ chứccaacute nhacircn
coacute đủ điều kiện theo quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute
số vagrave quy định tại Quy chế chứng thực chữ kyacute số nagravey đồng yacute sử dụng vagrave được Cocircng
ty cổ phần Chứng số An Toagraven SAFE-CA cấp chứng thư số
d) Người nhận Lagrave caacutec tổ chứccaacute nhacircn sử dụng dịch vụ xaacutec thực thocircng tin thuecirc bao
dịch vụ chứng thực chữ kyacute số thocircng qua hệ thống cung cấp dịch vụ chữ kyacute số của
Cocircng ty cổ phần Chứng số An Toagraven
14 Phương thức sử dụng chứng thư số
SAFE-CA cung cấp caacutec loại chứng thư số sau
Chứng thư số caacute nhacircn cho người dugraveng caacute nhacircn hoặc tổ chức doanh
nghiệp
Chứng thư số SSL
Chứng thư số Code Signing
- Caacutec chứng thư được cung cấp với caacutec độ dagravei khoacutea 512 bit 1024 bit 2048
bit 4096 bit Thời gian hiệu lực chứng thư số khoảng từ 6 thaacuteng đến 3 năm tugravey thuộc
vagraveo độ dagravei cặp khoacutea
- Mọi chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp được sử dụng
theo caacutec quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng
cộng
- Thuecirc bao phảỉ sử dụng chứng thư số đatilde được Cocircng ty cổ phần Chứng số An
Toagraven cấp đuacuteng mục điacutech đuacuteng quy định của phaacutep luật vagrave phải chịu mọi traacutech nhiệm
traacutech nhiệm khi sử dụng chứng thư số trong caacutec trường hợp đogravei hỏi mức độ an toagraven
tuyệt đối coacute ảnh hưởng trực tiếp đến mocirci trường tự nhiecircn sinh mạng con người
10
15 Tổ chức quản lyacute chiacutenh saacutech
151 Tổ chức quản trị tagravei liệu
Cocircng ty cổ phần Chứng số An Toagraven lagrave đơn vị tổ chức ban hagravenh quản lyacute toagraven
bộ Quy chế chứng thực chữ kyacute số nagravey
152 Liecircn hệ
Cocircng ty Cổ phần Chứng Số An Toagraven (SAFE-CA)
Địa chỉ X-0477 Togravea nhagrave North Towers Sunrise City 27 Nguyễn Hữu Thọ
Phường Tacircn Hưng Quận 7 TPHCM
Điện thoại 08 66823732
Email infoSAFECertcomvn
153 Tổ chức phecirc chuẩn quy chế chứng thực
- Cocircng ty cổ phần Chứng số An Toagraven thagravenh lập hội đồng đaacutenh giaacute phecirc chuẩn
nhằm mục điacutech xem xeacutet vagrave phecirc chuẩn Quy chế chứng thực chữ kyacute số nagravey
154 Thủ tục phecirc chuẩn quy chế chứng thực
Trong từng thời kỳ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng ban hagravenh
vagrave Hội đồng phecirc chuẩn sẽ phecirc chuẩn Quy chế chứng thực chữ kyacute số do bộ phận phaacutep
lyacute của Cocircng ty trigravenh lecircn Mọi thay đổi trong Quy chế chứng thực chữ kyacute số nagravey đều
phải đảm bảo tuacircn thủ đuacuteng quy định của phaacutep luật Việt Nam về dịch vụ chứng thực
chữ kyacute số cocircng cộng phugrave hợp với tiecircu chuẩn RFC 3647 vagrave đảm bảo khocircng ảnh hưởng
đến quyền lợi của thuecirc bao
Quy trigravenh thủ tục phecirc chuẩn như sau
- Bộ phận phaacutep lyacute của Cocircng ty chịu traacutech nhiệm xacircy dựng toacutem tắt tổng hợp
so saacutenh caacutec nội dung sửa đổi (nếu coacute) vagrave trigravenh lecircn Ban Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty giao bộ phận dịch vụ nghiecircn cứu kiểm tra tiacutenh khả
thi mức độ ảnh hưởng đến thuecirc bao vagrave baacuteo caacuteo lại Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty họp xem xeacutet quyết định phecirc chuẩn
16 Định nghĩa vagrave viết tắt
- Chứng thư số lagrave một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số cấp
- Chứng thư số nước ngoagravei lagrave chứng thư số do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số nước ngoagravei cấp
- ldquoChứng thư số coacute hiệu lựcrdquo lagrave chứng thư số chưa hết hạn khocircng bị tạm dừng hoặc
11
bị thu hồi
- Chữ kyacute số lagrave một dạng chữ kyacute điện tử được tạo ra bằng sự biến đổi một thocircng
điệp dữ liệu sử dụng hệ thống mật matilde khocircng đối xứng theo đoacute người coacute được thocircng điệp
dữ liệu ban đầu vagrave khoaacute cocircng khai của người kyacute coacute thể xaacutec định được chiacutenh xaacutec
+ Việc biến đổi necircu trecircn được tạo ra bằng đuacuteng khoaacute biacute mật tương ứng với khoaacute
cocircng khai trong cugraveng một cặp khoacutea
+ Sự toagraven vẹn nội dung của thocircng điệp dữ liệu kể từ khi thực hiện việc biến đổi necircu
trecircn
- ldquoDịch vụ chứng thực chữ kyacute sốrdquo lagrave một loại higravenh dịch vụ chứng thực chữ kyacute điện
tử do tổ chức cung cấp dịch vụ chứng thực chữ kyacute số cấp Dịch vụ chứng thực chữ kyacute
số bao gồm
+ Cấp gia hạn tạm dừng phục hồi vagrave thu hồi chứng thư số của thuecirc bao
+ Duy trigrave trực tuyến cơ sở dữ liệu về chứng thư số
+ Những dịch vụ khaacutec coacute liecircn quan theo quy định
- ldquoHệ thống mật matilde khocircng đối xứngrdquo lagrave hệ thống mật matilde coacute khả năng tạo được cặp
khoacutea bao gồm khoaacute biacute mật vagrave khoaacute cocircng khai
- ldquoKhoaacuterdquo lagrave một chuỗi caacutec số nhị phacircn (0 vagrave 1) dugraveng trong caacutec hệ thống mật matilde
- ldquoKhoacutea biacute mậtrdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối xứng
được dugraveng để tạo chữ kyacute số
- ldquoKhoacutea cocircng khairdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối
xứng được sử dụng để kiểm tra chữ kyacute số được tạo bởi khoaacute biacute mật tương ứng trong cặp
khoaacute
- ldquoKyacute sốrdquo lagrave việc đưa khoacutea biacute mật vagraveo một chương trigravenh phần mềm để tự động tạo
vagrave gắn chữ kyacute số vagraveo thocircng điệp dữ liệu
- ldquoNgười kyacuterdquo lagrave thuecirc bao dugraveng đuacuteng khoaacute biacute mật của migravenh để kyacute số vagraveo một thocircng
điệp dữ liệu dưới tecircn của migravenh
- ldquoNgười nhậnrdquo lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng điệp dữ
liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
- ldquoThuecirc baordquo lagrave tổ chức caacute nhacircn được cấp chứng thư số chấp nhận chứng thư số
vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi trecircn chứng thư số được cấp đoacute
- ldquoTạm dừng chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech tạm thời
từ một thời điểm xaacutec định
- ldquoThu hồi chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech vĩnh viễn
từ một thời điểm xaacutec định
12
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ
21 Kho lưu trữ
Caacutec thocircng tin về thuecirc bao vagrave chứng thư số được lưu trữ tập trung bảo mật an
toagraven hạn chế tiếp xuacutec với mocirci trường mạng Internet
Caacutec thocircng tin được lưu trữ trực tuyến lagrave caacutec thocircng tin về chiacutenh saacutech Quy chế
chứng thực chữ kyacute số CRL vagrave caacutec thocircng tin tối thiểu về chứng thư số được aacutenh xạ từ
cơ sở dữ liệu gốc necircu trecircn
22 Cocircng bố thocircng tin về chứng thư số
Cơ sở dữ liệu thocircng tin về chứng thư số của Cocircng ty cổ phần Chứng số An
Toagraven được đảm bảo duy trigrave thường xuyecircn liecircn tục cung cấp cho thuecirc bao vagrave người
nhận khả năng kiểm tra trạng thaacutei chứng thư số cũng như thocircng tin về chiacutenh saacutech
Quy chế chứng thực của Cocircng ty
Caacutec thocircng tin bao gồm
- Thocircng tin về danh saacutech chứng thư số đatilde được cấp
- Thocircng tin về danh saacutech chứng thư số đatilde bị tạm dừng thu hồi
- Thocircng tin về chiacutenh saacutech Quy chế chứng thực chữ kyacute số Địa chỉ cocircng bố
- Caacutec thocircng tin khaacutec coacute liecircn quan (mẫu hợp đồng chiacutenh saacutech hellip)
Caacutec thocircng tin trecircn sẽ được cocircng bố tại website của Cocircng ty cổ phần Chứng số
An Toagraven coacute địa chỉ wwwSAFECertcomvn
23 Thocircng tin về tần suất cocircng bố
- Đối với caacutec thocircng tin về chứng thư số được cập nhật thường xuyecircn liecircn tục
vagrave cho pheacutep truy cập 247
- Đối với caacutec thocircng tin về Quy chế chứng thực chữ kyacute số chiacutenh saacutech được cập
nhật khi coacute sự thay đổi
24 Kiểm soaacutet truy cập vagraveo kho lưu trữ
- Caacutec thocircng tin về chứng thư số được cocircng bố cocircng khai trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven chỉ cho pheacutep người sử dụng được quyền xem
download vagrave khocircng được pheacutep chỉnh sửa bổ sung
- Caacutec thocircng tin về chiacutenh saacutech quy chế chứng thực chữ kyacute số được cập nhật vagrave
cocircng bố cocircng khai khi coacute thay đổi Chỉ coacute Cocircng ty cổ phần Chứng số An Toagraven mới
coacute quyền thay đổi bổ sung cập nhật
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 4: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/4.jpg)
4
554 Caacutec thủ tục sao lưu lưu trữ 33 555 Nhatilden thời gian của caacutec bản ghi 33
556 Hệ thống lưu trữ 33 557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ 33
56 Thay đổi khoacutea của CA 33
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa 33 571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa 33 572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu 33 573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ 34 574 Khả năng phục hồi hoạt động sau thảm họa 34
58 Kết thuacutec CA vagrave RA 34 VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT 35
61 Tạo cặp khoacutea vagrave cagravei đặt 35 611 Sinh cặp khoacutea 35
612 Gửi khoacutea cocircng khai cho CA 35 613 Cocircng bố khoacutea cocircng khai của CA 35 614 Độ dagravei khoacutea của thuecirc bao 36
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng 36 62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea 36
621 Tiecircu chuẩn module matilde hoacutea 36 622 Cơ chế kiểm soaacutet khoacutea biacute mật 37
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao 37 624 Dự phograveng khoacutea biacute mật 37 625 Lưu trữ khoacutea biacute mật 37
626 Chuyển khoacutea biacute mật vagraveora HSM 37
627 Phương thức kiacutech hoạt khoacutea biacute mật 37 628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật 38 629 Phương phaacutep hủy bỏ khoacutea biacute mật 38
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng 38 63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea 38
631 Lưu trữ khoacutea cocircng khai 38 632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea 38
64 Dữ liệu khởi tạo 38
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt 38 642 Bảo vệ dữ liệu kiacutech hoạt 38
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt 38
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh 38
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh 39 652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh 39
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số 39 661 Giaacutem saacutet triển khai hệ thống 39 662 Quản lyacute giaacutem saacutet an ninh 39
663 Giaacutem saacutet an ninh vograveng đời chứng thư số 39 67 Kiểm soaacutet an toagraven mạng 39 68 Daacuten nhatilden thời gian 39
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP 40 71 Hồ sơ chứng thư số 40
711 Phiecircn bản 40
712 Trường cơ bản 40
713 Trường mở rộng 40 714 Caacutec thuật toaacuten kyacute 40 715 Khuocircng dạng tecircn 41 716 Giới hạn tecircn 41 717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số 41
5
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số 41 719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại 41
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số 41 72 Hồ sơ CRL 41
721 Số phiecircn bản của CRL 41
722 CRL vagrave caacutec trường mở rộng của CRL 42 73 Hồ sơ OCSP 42
731 Phiecircn bản 42 732 Trường cơ bản 42 733 Trường mở rộng 43
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC 44 81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật 44 82 Tổ thực hiện kiểm tra hệ thống kỹ thuật 44 83 Caacutec nội dung kiểm toaacuten kỹ thuật 44
84 Xử lyacute khi phaacutet hiện sai soacutet 44 IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC 45
91 Phiacute 45
92 Traacutech nhiệm tagravei chiacutenh 45 93 Tiacutenh biacute mật của thocircng tin nghiệp vụ 45
931 Phạm vi caacutec thocircng tin biacute mật 45 932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật 45
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật 45 94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn 46
941 Kế hoạch bảo mật thocircng tin caacute nhacircn 46
942 Phạm vi caacutec thocircng tin caacute nhacircn 46
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn 46 944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật 46 945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật 46
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật 46 947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec 47
95 Quyền sở hữu triacute tuệ 47 951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi 47 952 Quyền sở hữu quy chế chứng thực 47
953 Quyền sở hữu tecircn 47 954 Quyền sở hữu khoacutea 47
96 Tuyecircn bố vagrave cam kết 47
961 Tuyecircn bố vagrave cam kết của CA 47
962 Tuyecircn bố vagrave cam kết của RA 48 963 Tuyecircn bố vagrave cam kết của thuecirc bao 48 964 Tuyecircn bố vagrave cam kết của người nhận 48 965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec 48
97 Tuyecircn bố về sự đảm bảo 49
98 Giới hạn về traacutech nhiệm 49 99 Bồi thường 49 910 Điều khoản vagrave sự kết thuacutec 49
9101 Thời hạn bắt đầu coacute hiệu lực 49 9102 Thời hạn hết hiệu lực 49
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực 50
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia 50
912 Thay đổi Quy chế chứng thực 50 9121 Thủ tục bổ sung 50 9122 Cơ chế vagrave thời hạn thocircng baacuteo 50
913 Giải quyết caacutec bất đồng tranh chấp 50 914 Luật điều chỉnh 51
6
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng 51 916 Điều khoản chung 51
917 Điều khoản khaacutec 51 X TAgraveI LIỆU THAM CHIẾU 52
101 Tiecircu chuẩn aacutep dụng 52
102 Caacutec địa chỉ lưu trữ trực tuyến 55
7
I GIỚI THIỆU
11 Giới thiệu về tagravei liệu Quy chế chứng thực
Quy chế chứng thực nagravey lagrave tuyecircn bố về mặt nguyecircn tắc của Cocircng ty cổ phần
Chứng số An Toagraven thể hiện quy trigravenh cung cấp dịch vụ chứng thực chữ kyacute số của
Cocircng ty
Nội dung của Quy chế nagravey bao gồm caacutec điều kiện quy trigravenh về mặt phaacutep lyacute
kỹ thuật vagrave kinh doanh trong quaacute trigravenh cấp phaacutet quản lyacute tạm dừng thu hồi vagrave cấp lại
mới chứng thư số cũng như việc sử dụng chứng thư số Caacutec nội dung nagravey được thực
hiện một caacutech bắt buộc đối với mọi thagravenh phần tham gia cung cấp sử dụng dịch vụ
chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An Toagraven nhằm đảm bảo tiacutenh an
toagraven bảo mật cho dịch vụ thocircng tin trecircn chứng thư số
Quy chế chứng thực nagravey được xacircy dựng tuacircn thủ theo caacutec quy định của phaacutep
luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng cộng tiecircu chuẩn RFC 3647 vagrave
caacutec quy định phaacutep luật khaacutec coacute liecircn quan
12 Tecircn vagrave định danh của tagravei liệu
Tagravei liệu nagravey do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh với tecircn gọi ldquoQuy
chế chứng thực chữ kyacute số cocircng cộng của Cocircng ty cổ phần Chứng số An Toagravenrdquo (gọi
tắt lagrave Quy chế chứng thực chữ kyacute số)
13 Thagravenh viecircn tham gia hệ thống
Caacutec thagravenh viecircn tham gia hệ thống cung cấp dịch vụ chứng thực chữ kyacute số cocircng
cộng của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Cocircng ty cổ phần Chứng số An Toagraven (viết tắt lagrave SAFE-CA) lagrave tổ chức cung
cấp dịch vụ chứng thực chữ kyacute điện tử thực hiện hoạt động cung cấp dịch vụ chứng
thực chữ kyacute số
- Đơn vị tiếp nhận yecircu cầu cấp chứng thư số vagrave xaacutec thực thocircng tin thuecirc bao RA
(viết tắt lagrave SAFE-CA RA)
- Thuecirc bao dịch vụ chứng thực chữ kyacute số lagrave tổ chức caacute nhacircn được cấp chứng
thư số chấp nhận chứng thư số vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi
trecircn chứng thư số được cấp đoacute
- Người nhận lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng
điệp dữ liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
8
Sơ đồ tổ chức hệ thống CA của Cocircng ty cổ phần Chứng số An Toagraven như sau
a) SAFE-CA
Đacircy lagrave thagravenh phần quan trọng nhất trong hệ thống lagrave bộ phận tổng thể caacutec
phần cứng phần mềm bảo mật lagravem nhiệm vụ xaacutec thực thocircng tin thuecirc bao đảm bảo
toagraven vẹn biacute mật caacutec thocircng tin nagravey Chức năng chiacutenh của SAFE-CA bao gồm
- Tạo khoacutea cocircng khai cho thuecirc bao
- Phacircn phối khoaacute cho thuecirc bao
- Tạm dừng gia hạn thu hồi khocirci phục chứng thư số của thuecirc bao
- Cung cấp cơ sở dữ liệu trực tuyến về tigravenh trạng chứng thư số quản lyacute bao
gồm danh saacutech caacutec chứng thư số đatilde cấp cograven hiệu lực đatilde hết hạn bị tạm dừng bị thu
hồi đatilde khocirci phục
- Cung cấp caacutec dịch vụ khaacutec (dịch vụ ứng dụng hellip) cho thuecirc bao vagrave người sử
dụng thocircng tin chứng thư số
Để phục vụ cho việc thực hiện caacutec chức năng trecircn của SAFE-CA thigrave việc tiếp
nhận yecircu cầu cấp gia hạn tạm dừng thu hồi khocirci phục chứng thư số vagrave xaacutec thực
thocircng tin thuecirc bao sẽ được uỷ quyền cho caacutec đơn vị chức năng lagrave SAFE-CA RA
b) SAFE-CA RA
SAFE-CA RA lagrave đơn vị được SAFE-CA uỷ quyền coacute chức năng tiếp nhận yecircu
cầu của thuecirc bao vagrave xaacutec thực thocircng tin thuecirc bao Nhiệm vụ chiacutenh của SAFE-CA RA
bao gồm
- Tiếp nhận caacutec yecircu cầu từ thuecirc bao (cấp mới gia hạn tạm dừng thu hồi khocirci
phục) vagrave chuyển yecircu cầu nagravey về SAFE-CA thocircng qua hệ thống thiết bị kết nối với
SAFE-CA vagrave phương thức nhacircn cocircng (đối với caacutec hồ sơ về thocircng tin thuecirc bao)
ROOT CA
(CA quản lyacute toagraven bộ
hệ thống PKI Việt Nam)
SAFE-CA
SAFE-CA RA-1 SAFE-CA RA-2 SAFE-CA RA-n
9
- Xaacutec thực thocircng tin thuecirc bao nhằm đảm bảo tiacutenh chiacutenh xaacutec của caacutec yecircu cầu vagrave
thocircng tin về nhacircn thacircn của thuecirc bao
c) Thuecirc bao dịch vụ chứng thực chữ kyacute số (gọi tắt lagrave thuecirc bao) lagrave caacutec tổ chứccaacute nhacircn
coacute đủ điều kiện theo quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute
số vagrave quy định tại Quy chế chứng thực chữ kyacute số nagravey đồng yacute sử dụng vagrave được Cocircng
ty cổ phần Chứng số An Toagraven SAFE-CA cấp chứng thư số
d) Người nhận Lagrave caacutec tổ chứccaacute nhacircn sử dụng dịch vụ xaacutec thực thocircng tin thuecirc bao
dịch vụ chứng thực chữ kyacute số thocircng qua hệ thống cung cấp dịch vụ chữ kyacute số của
Cocircng ty cổ phần Chứng số An Toagraven
14 Phương thức sử dụng chứng thư số
SAFE-CA cung cấp caacutec loại chứng thư số sau
Chứng thư số caacute nhacircn cho người dugraveng caacute nhacircn hoặc tổ chức doanh
nghiệp
Chứng thư số SSL
Chứng thư số Code Signing
- Caacutec chứng thư được cung cấp với caacutec độ dagravei khoacutea 512 bit 1024 bit 2048
bit 4096 bit Thời gian hiệu lực chứng thư số khoảng từ 6 thaacuteng đến 3 năm tugravey thuộc
vagraveo độ dagravei cặp khoacutea
- Mọi chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp được sử dụng
theo caacutec quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng
cộng
- Thuecirc bao phảỉ sử dụng chứng thư số đatilde được Cocircng ty cổ phần Chứng số An
Toagraven cấp đuacuteng mục điacutech đuacuteng quy định của phaacutep luật vagrave phải chịu mọi traacutech nhiệm
traacutech nhiệm khi sử dụng chứng thư số trong caacutec trường hợp đogravei hỏi mức độ an toagraven
tuyệt đối coacute ảnh hưởng trực tiếp đến mocirci trường tự nhiecircn sinh mạng con người
10
15 Tổ chức quản lyacute chiacutenh saacutech
151 Tổ chức quản trị tagravei liệu
Cocircng ty cổ phần Chứng số An Toagraven lagrave đơn vị tổ chức ban hagravenh quản lyacute toagraven
bộ Quy chế chứng thực chữ kyacute số nagravey
152 Liecircn hệ
Cocircng ty Cổ phần Chứng Số An Toagraven (SAFE-CA)
Địa chỉ X-0477 Togravea nhagrave North Towers Sunrise City 27 Nguyễn Hữu Thọ
Phường Tacircn Hưng Quận 7 TPHCM
Điện thoại 08 66823732
Email infoSAFECertcomvn
153 Tổ chức phecirc chuẩn quy chế chứng thực
- Cocircng ty cổ phần Chứng số An Toagraven thagravenh lập hội đồng đaacutenh giaacute phecirc chuẩn
nhằm mục điacutech xem xeacutet vagrave phecirc chuẩn Quy chế chứng thực chữ kyacute số nagravey
154 Thủ tục phecirc chuẩn quy chế chứng thực
Trong từng thời kỳ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng ban hagravenh
vagrave Hội đồng phecirc chuẩn sẽ phecirc chuẩn Quy chế chứng thực chữ kyacute số do bộ phận phaacutep
lyacute của Cocircng ty trigravenh lecircn Mọi thay đổi trong Quy chế chứng thực chữ kyacute số nagravey đều
phải đảm bảo tuacircn thủ đuacuteng quy định của phaacutep luật Việt Nam về dịch vụ chứng thực
chữ kyacute số cocircng cộng phugrave hợp với tiecircu chuẩn RFC 3647 vagrave đảm bảo khocircng ảnh hưởng
đến quyền lợi của thuecirc bao
Quy trigravenh thủ tục phecirc chuẩn như sau
- Bộ phận phaacutep lyacute của Cocircng ty chịu traacutech nhiệm xacircy dựng toacutem tắt tổng hợp
so saacutenh caacutec nội dung sửa đổi (nếu coacute) vagrave trigravenh lecircn Ban Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty giao bộ phận dịch vụ nghiecircn cứu kiểm tra tiacutenh khả
thi mức độ ảnh hưởng đến thuecirc bao vagrave baacuteo caacuteo lại Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty họp xem xeacutet quyết định phecirc chuẩn
16 Định nghĩa vagrave viết tắt
- Chứng thư số lagrave một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số cấp
- Chứng thư số nước ngoagravei lagrave chứng thư số do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số nước ngoagravei cấp
- ldquoChứng thư số coacute hiệu lựcrdquo lagrave chứng thư số chưa hết hạn khocircng bị tạm dừng hoặc
11
bị thu hồi
- Chữ kyacute số lagrave một dạng chữ kyacute điện tử được tạo ra bằng sự biến đổi một thocircng
điệp dữ liệu sử dụng hệ thống mật matilde khocircng đối xứng theo đoacute người coacute được thocircng điệp
dữ liệu ban đầu vagrave khoaacute cocircng khai của người kyacute coacute thể xaacutec định được chiacutenh xaacutec
+ Việc biến đổi necircu trecircn được tạo ra bằng đuacuteng khoaacute biacute mật tương ứng với khoaacute
cocircng khai trong cugraveng một cặp khoacutea
+ Sự toagraven vẹn nội dung của thocircng điệp dữ liệu kể từ khi thực hiện việc biến đổi necircu
trecircn
- ldquoDịch vụ chứng thực chữ kyacute sốrdquo lagrave một loại higravenh dịch vụ chứng thực chữ kyacute điện
tử do tổ chức cung cấp dịch vụ chứng thực chữ kyacute số cấp Dịch vụ chứng thực chữ kyacute
số bao gồm
+ Cấp gia hạn tạm dừng phục hồi vagrave thu hồi chứng thư số của thuecirc bao
+ Duy trigrave trực tuyến cơ sở dữ liệu về chứng thư số
+ Những dịch vụ khaacutec coacute liecircn quan theo quy định
- ldquoHệ thống mật matilde khocircng đối xứngrdquo lagrave hệ thống mật matilde coacute khả năng tạo được cặp
khoacutea bao gồm khoaacute biacute mật vagrave khoaacute cocircng khai
- ldquoKhoaacuterdquo lagrave một chuỗi caacutec số nhị phacircn (0 vagrave 1) dugraveng trong caacutec hệ thống mật matilde
- ldquoKhoacutea biacute mậtrdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối xứng
được dugraveng để tạo chữ kyacute số
- ldquoKhoacutea cocircng khairdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối
xứng được sử dụng để kiểm tra chữ kyacute số được tạo bởi khoaacute biacute mật tương ứng trong cặp
khoaacute
- ldquoKyacute sốrdquo lagrave việc đưa khoacutea biacute mật vagraveo một chương trigravenh phần mềm để tự động tạo
vagrave gắn chữ kyacute số vagraveo thocircng điệp dữ liệu
- ldquoNgười kyacuterdquo lagrave thuecirc bao dugraveng đuacuteng khoaacute biacute mật của migravenh để kyacute số vagraveo một thocircng
điệp dữ liệu dưới tecircn của migravenh
- ldquoNgười nhậnrdquo lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng điệp dữ
liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
- ldquoThuecirc baordquo lagrave tổ chức caacute nhacircn được cấp chứng thư số chấp nhận chứng thư số
vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi trecircn chứng thư số được cấp đoacute
- ldquoTạm dừng chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech tạm thời
từ một thời điểm xaacutec định
- ldquoThu hồi chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech vĩnh viễn
từ một thời điểm xaacutec định
12
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ
21 Kho lưu trữ
Caacutec thocircng tin về thuecirc bao vagrave chứng thư số được lưu trữ tập trung bảo mật an
toagraven hạn chế tiếp xuacutec với mocirci trường mạng Internet
Caacutec thocircng tin được lưu trữ trực tuyến lagrave caacutec thocircng tin về chiacutenh saacutech Quy chế
chứng thực chữ kyacute số CRL vagrave caacutec thocircng tin tối thiểu về chứng thư số được aacutenh xạ từ
cơ sở dữ liệu gốc necircu trecircn
22 Cocircng bố thocircng tin về chứng thư số
Cơ sở dữ liệu thocircng tin về chứng thư số của Cocircng ty cổ phần Chứng số An
Toagraven được đảm bảo duy trigrave thường xuyecircn liecircn tục cung cấp cho thuecirc bao vagrave người
nhận khả năng kiểm tra trạng thaacutei chứng thư số cũng như thocircng tin về chiacutenh saacutech
Quy chế chứng thực của Cocircng ty
Caacutec thocircng tin bao gồm
- Thocircng tin về danh saacutech chứng thư số đatilde được cấp
- Thocircng tin về danh saacutech chứng thư số đatilde bị tạm dừng thu hồi
- Thocircng tin về chiacutenh saacutech Quy chế chứng thực chữ kyacute số Địa chỉ cocircng bố
- Caacutec thocircng tin khaacutec coacute liecircn quan (mẫu hợp đồng chiacutenh saacutech hellip)
Caacutec thocircng tin trecircn sẽ được cocircng bố tại website của Cocircng ty cổ phần Chứng số
An Toagraven coacute địa chỉ wwwSAFECertcomvn
23 Thocircng tin về tần suất cocircng bố
- Đối với caacutec thocircng tin về chứng thư số được cập nhật thường xuyecircn liecircn tục
vagrave cho pheacutep truy cập 247
- Đối với caacutec thocircng tin về Quy chế chứng thực chữ kyacute số chiacutenh saacutech được cập
nhật khi coacute sự thay đổi
24 Kiểm soaacutet truy cập vagraveo kho lưu trữ
- Caacutec thocircng tin về chứng thư số được cocircng bố cocircng khai trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven chỉ cho pheacutep người sử dụng được quyền xem
download vagrave khocircng được pheacutep chỉnh sửa bổ sung
- Caacutec thocircng tin về chiacutenh saacutech quy chế chứng thực chữ kyacute số được cập nhật vagrave
cocircng bố cocircng khai khi coacute thay đổi Chỉ coacute Cocircng ty cổ phần Chứng số An Toagraven mới
coacute quyền thay đổi bổ sung cập nhật
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 5: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/5.jpg)
5
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số 41 719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại 41
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số 41 72 Hồ sơ CRL 41
721 Số phiecircn bản của CRL 41
722 CRL vagrave caacutec trường mở rộng của CRL 42 73 Hồ sơ OCSP 42
731 Phiecircn bản 42 732 Trường cơ bản 42 733 Trường mở rộng 43
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC 44 81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật 44 82 Tổ thực hiện kiểm tra hệ thống kỹ thuật 44 83 Caacutec nội dung kiểm toaacuten kỹ thuật 44
84 Xử lyacute khi phaacutet hiện sai soacutet 44 IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC 45
91 Phiacute 45
92 Traacutech nhiệm tagravei chiacutenh 45 93 Tiacutenh biacute mật của thocircng tin nghiệp vụ 45
931 Phạm vi caacutec thocircng tin biacute mật 45 932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật 45
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật 45 94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn 46
941 Kế hoạch bảo mật thocircng tin caacute nhacircn 46
942 Phạm vi caacutec thocircng tin caacute nhacircn 46
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn 46 944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật 46 945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật 46
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật 46 947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec 47
95 Quyền sở hữu triacute tuệ 47 951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi 47 952 Quyền sở hữu quy chế chứng thực 47
953 Quyền sở hữu tecircn 47 954 Quyền sở hữu khoacutea 47
96 Tuyecircn bố vagrave cam kết 47
961 Tuyecircn bố vagrave cam kết của CA 47
962 Tuyecircn bố vagrave cam kết của RA 48 963 Tuyecircn bố vagrave cam kết của thuecirc bao 48 964 Tuyecircn bố vagrave cam kết của người nhận 48 965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec 48
97 Tuyecircn bố về sự đảm bảo 49
98 Giới hạn về traacutech nhiệm 49 99 Bồi thường 49 910 Điều khoản vagrave sự kết thuacutec 49
9101 Thời hạn bắt đầu coacute hiệu lực 49 9102 Thời hạn hết hiệu lực 49
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực 50
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia 50
912 Thay đổi Quy chế chứng thực 50 9121 Thủ tục bổ sung 50 9122 Cơ chế vagrave thời hạn thocircng baacuteo 50
913 Giải quyết caacutec bất đồng tranh chấp 50 914 Luật điều chỉnh 51
6
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng 51 916 Điều khoản chung 51
917 Điều khoản khaacutec 51 X TAgraveI LIỆU THAM CHIẾU 52
101 Tiecircu chuẩn aacutep dụng 52
102 Caacutec địa chỉ lưu trữ trực tuyến 55
7
I GIỚI THIỆU
11 Giới thiệu về tagravei liệu Quy chế chứng thực
Quy chế chứng thực nagravey lagrave tuyecircn bố về mặt nguyecircn tắc của Cocircng ty cổ phần
Chứng số An Toagraven thể hiện quy trigravenh cung cấp dịch vụ chứng thực chữ kyacute số của
Cocircng ty
Nội dung của Quy chế nagravey bao gồm caacutec điều kiện quy trigravenh về mặt phaacutep lyacute
kỹ thuật vagrave kinh doanh trong quaacute trigravenh cấp phaacutet quản lyacute tạm dừng thu hồi vagrave cấp lại
mới chứng thư số cũng như việc sử dụng chứng thư số Caacutec nội dung nagravey được thực
hiện một caacutech bắt buộc đối với mọi thagravenh phần tham gia cung cấp sử dụng dịch vụ
chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An Toagraven nhằm đảm bảo tiacutenh an
toagraven bảo mật cho dịch vụ thocircng tin trecircn chứng thư số
Quy chế chứng thực nagravey được xacircy dựng tuacircn thủ theo caacutec quy định của phaacutep
luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng cộng tiecircu chuẩn RFC 3647 vagrave
caacutec quy định phaacutep luật khaacutec coacute liecircn quan
12 Tecircn vagrave định danh của tagravei liệu
Tagravei liệu nagravey do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh với tecircn gọi ldquoQuy
chế chứng thực chữ kyacute số cocircng cộng của Cocircng ty cổ phần Chứng số An Toagravenrdquo (gọi
tắt lagrave Quy chế chứng thực chữ kyacute số)
13 Thagravenh viecircn tham gia hệ thống
Caacutec thagravenh viecircn tham gia hệ thống cung cấp dịch vụ chứng thực chữ kyacute số cocircng
cộng của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Cocircng ty cổ phần Chứng số An Toagraven (viết tắt lagrave SAFE-CA) lagrave tổ chức cung
cấp dịch vụ chứng thực chữ kyacute điện tử thực hiện hoạt động cung cấp dịch vụ chứng
thực chữ kyacute số
- Đơn vị tiếp nhận yecircu cầu cấp chứng thư số vagrave xaacutec thực thocircng tin thuecirc bao RA
(viết tắt lagrave SAFE-CA RA)
- Thuecirc bao dịch vụ chứng thực chữ kyacute số lagrave tổ chức caacute nhacircn được cấp chứng
thư số chấp nhận chứng thư số vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi
trecircn chứng thư số được cấp đoacute
- Người nhận lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng
điệp dữ liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
8
Sơ đồ tổ chức hệ thống CA của Cocircng ty cổ phần Chứng số An Toagraven như sau
a) SAFE-CA
Đacircy lagrave thagravenh phần quan trọng nhất trong hệ thống lagrave bộ phận tổng thể caacutec
phần cứng phần mềm bảo mật lagravem nhiệm vụ xaacutec thực thocircng tin thuecirc bao đảm bảo
toagraven vẹn biacute mật caacutec thocircng tin nagravey Chức năng chiacutenh của SAFE-CA bao gồm
- Tạo khoacutea cocircng khai cho thuecirc bao
- Phacircn phối khoaacute cho thuecirc bao
- Tạm dừng gia hạn thu hồi khocirci phục chứng thư số của thuecirc bao
- Cung cấp cơ sở dữ liệu trực tuyến về tigravenh trạng chứng thư số quản lyacute bao
gồm danh saacutech caacutec chứng thư số đatilde cấp cograven hiệu lực đatilde hết hạn bị tạm dừng bị thu
hồi đatilde khocirci phục
- Cung cấp caacutec dịch vụ khaacutec (dịch vụ ứng dụng hellip) cho thuecirc bao vagrave người sử
dụng thocircng tin chứng thư số
Để phục vụ cho việc thực hiện caacutec chức năng trecircn của SAFE-CA thigrave việc tiếp
nhận yecircu cầu cấp gia hạn tạm dừng thu hồi khocirci phục chứng thư số vagrave xaacutec thực
thocircng tin thuecirc bao sẽ được uỷ quyền cho caacutec đơn vị chức năng lagrave SAFE-CA RA
b) SAFE-CA RA
SAFE-CA RA lagrave đơn vị được SAFE-CA uỷ quyền coacute chức năng tiếp nhận yecircu
cầu của thuecirc bao vagrave xaacutec thực thocircng tin thuecirc bao Nhiệm vụ chiacutenh của SAFE-CA RA
bao gồm
- Tiếp nhận caacutec yecircu cầu từ thuecirc bao (cấp mới gia hạn tạm dừng thu hồi khocirci
phục) vagrave chuyển yecircu cầu nagravey về SAFE-CA thocircng qua hệ thống thiết bị kết nối với
SAFE-CA vagrave phương thức nhacircn cocircng (đối với caacutec hồ sơ về thocircng tin thuecirc bao)
ROOT CA
(CA quản lyacute toagraven bộ
hệ thống PKI Việt Nam)
SAFE-CA
SAFE-CA RA-1 SAFE-CA RA-2 SAFE-CA RA-n
9
- Xaacutec thực thocircng tin thuecirc bao nhằm đảm bảo tiacutenh chiacutenh xaacutec của caacutec yecircu cầu vagrave
thocircng tin về nhacircn thacircn của thuecirc bao
c) Thuecirc bao dịch vụ chứng thực chữ kyacute số (gọi tắt lagrave thuecirc bao) lagrave caacutec tổ chứccaacute nhacircn
coacute đủ điều kiện theo quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute
số vagrave quy định tại Quy chế chứng thực chữ kyacute số nagravey đồng yacute sử dụng vagrave được Cocircng
ty cổ phần Chứng số An Toagraven SAFE-CA cấp chứng thư số
d) Người nhận Lagrave caacutec tổ chứccaacute nhacircn sử dụng dịch vụ xaacutec thực thocircng tin thuecirc bao
dịch vụ chứng thực chữ kyacute số thocircng qua hệ thống cung cấp dịch vụ chữ kyacute số của
Cocircng ty cổ phần Chứng số An Toagraven
14 Phương thức sử dụng chứng thư số
SAFE-CA cung cấp caacutec loại chứng thư số sau
Chứng thư số caacute nhacircn cho người dugraveng caacute nhacircn hoặc tổ chức doanh
nghiệp
Chứng thư số SSL
Chứng thư số Code Signing
- Caacutec chứng thư được cung cấp với caacutec độ dagravei khoacutea 512 bit 1024 bit 2048
bit 4096 bit Thời gian hiệu lực chứng thư số khoảng từ 6 thaacuteng đến 3 năm tugravey thuộc
vagraveo độ dagravei cặp khoacutea
- Mọi chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp được sử dụng
theo caacutec quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng
cộng
- Thuecirc bao phảỉ sử dụng chứng thư số đatilde được Cocircng ty cổ phần Chứng số An
Toagraven cấp đuacuteng mục điacutech đuacuteng quy định của phaacutep luật vagrave phải chịu mọi traacutech nhiệm
traacutech nhiệm khi sử dụng chứng thư số trong caacutec trường hợp đogravei hỏi mức độ an toagraven
tuyệt đối coacute ảnh hưởng trực tiếp đến mocirci trường tự nhiecircn sinh mạng con người
10
15 Tổ chức quản lyacute chiacutenh saacutech
151 Tổ chức quản trị tagravei liệu
Cocircng ty cổ phần Chứng số An Toagraven lagrave đơn vị tổ chức ban hagravenh quản lyacute toagraven
bộ Quy chế chứng thực chữ kyacute số nagravey
152 Liecircn hệ
Cocircng ty Cổ phần Chứng Số An Toagraven (SAFE-CA)
Địa chỉ X-0477 Togravea nhagrave North Towers Sunrise City 27 Nguyễn Hữu Thọ
Phường Tacircn Hưng Quận 7 TPHCM
Điện thoại 08 66823732
Email infoSAFECertcomvn
153 Tổ chức phecirc chuẩn quy chế chứng thực
- Cocircng ty cổ phần Chứng số An Toagraven thagravenh lập hội đồng đaacutenh giaacute phecirc chuẩn
nhằm mục điacutech xem xeacutet vagrave phecirc chuẩn Quy chế chứng thực chữ kyacute số nagravey
154 Thủ tục phecirc chuẩn quy chế chứng thực
Trong từng thời kỳ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng ban hagravenh
vagrave Hội đồng phecirc chuẩn sẽ phecirc chuẩn Quy chế chứng thực chữ kyacute số do bộ phận phaacutep
lyacute của Cocircng ty trigravenh lecircn Mọi thay đổi trong Quy chế chứng thực chữ kyacute số nagravey đều
phải đảm bảo tuacircn thủ đuacuteng quy định của phaacutep luật Việt Nam về dịch vụ chứng thực
chữ kyacute số cocircng cộng phugrave hợp với tiecircu chuẩn RFC 3647 vagrave đảm bảo khocircng ảnh hưởng
đến quyền lợi của thuecirc bao
Quy trigravenh thủ tục phecirc chuẩn như sau
- Bộ phận phaacutep lyacute của Cocircng ty chịu traacutech nhiệm xacircy dựng toacutem tắt tổng hợp
so saacutenh caacutec nội dung sửa đổi (nếu coacute) vagrave trigravenh lecircn Ban Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty giao bộ phận dịch vụ nghiecircn cứu kiểm tra tiacutenh khả
thi mức độ ảnh hưởng đến thuecirc bao vagrave baacuteo caacuteo lại Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty họp xem xeacutet quyết định phecirc chuẩn
16 Định nghĩa vagrave viết tắt
- Chứng thư số lagrave một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số cấp
- Chứng thư số nước ngoagravei lagrave chứng thư số do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số nước ngoagravei cấp
- ldquoChứng thư số coacute hiệu lựcrdquo lagrave chứng thư số chưa hết hạn khocircng bị tạm dừng hoặc
11
bị thu hồi
- Chữ kyacute số lagrave một dạng chữ kyacute điện tử được tạo ra bằng sự biến đổi một thocircng
điệp dữ liệu sử dụng hệ thống mật matilde khocircng đối xứng theo đoacute người coacute được thocircng điệp
dữ liệu ban đầu vagrave khoaacute cocircng khai của người kyacute coacute thể xaacutec định được chiacutenh xaacutec
+ Việc biến đổi necircu trecircn được tạo ra bằng đuacuteng khoaacute biacute mật tương ứng với khoaacute
cocircng khai trong cugraveng một cặp khoacutea
+ Sự toagraven vẹn nội dung của thocircng điệp dữ liệu kể từ khi thực hiện việc biến đổi necircu
trecircn
- ldquoDịch vụ chứng thực chữ kyacute sốrdquo lagrave một loại higravenh dịch vụ chứng thực chữ kyacute điện
tử do tổ chức cung cấp dịch vụ chứng thực chữ kyacute số cấp Dịch vụ chứng thực chữ kyacute
số bao gồm
+ Cấp gia hạn tạm dừng phục hồi vagrave thu hồi chứng thư số của thuecirc bao
+ Duy trigrave trực tuyến cơ sở dữ liệu về chứng thư số
+ Những dịch vụ khaacutec coacute liecircn quan theo quy định
- ldquoHệ thống mật matilde khocircng đối xứngrdquo lagrave hệ thống mật matilde coacute khả năng tạo được cặp
khoacutea bao gồm khoaacute biacute mật vagrave khoaacute cocircng khai
- ldquoKhoaacuterdquo lagrave một chuỗi caacutec số nhị phacircn (0 vagrave 1) dugraveng trong caacutec hệ thống mật matilde
- ldquoKhoacutea biacute mậtrdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối xứng
được dugraveng để tạo chữ kyacute số
- ldquoKhoacutea cocircng khairdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối
xứng được sử dụng để kiểm tra chữ kyacute số được tạo bởi khoaacute biacute mật tương ứng trong cặp
khoaacute
- ldquoKyacute sốrdquo lagrave việc đưa khoacutea biacute mật vagraveo một chương trigravenh phần mềm để tự động tạo
vagrave gắn chữ kyacute số vagraveo thocircng điệp dữ liệu
- ldquoNgười kyacuterdquo lagrave thuecirc bao dugraveng đuacuteng khoaacute biacute mật của migravenh để kyacute số vagraveo một thocircng
điệp dữ liệu dưới tecircn của migravenh
- ldquoNgười nhậnrdquo lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng điệp dữ
liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
- ldquoThuecirc baordquo lagrave tổ chức caacute nhacircn được cấp chứng thư số chấp nhận chứng thư số
vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi trecircn chứng thư số được cấp đoacute
- ldquoTạm dừng chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech tạm thời
từ một thời điểm xaacutec định
- ldquoThu hồi chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech vĩnh viễn
từ một thời điểm xaacutec định
12
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ
21 Kho lưu trữ
Caacutec thocircng tin về thuecirc bao vagrave chứng thư số được lưu trữ tập trung bảo mật an
toagraven hạn chế tiếp xuacutec với mocirci trường mạng Internet
Caacutec thocircng tin được lưu trữ trực tuyến lagrave caacutec thocircng tin về chiacutenh saacutech Quy chế
chứng thực chữ kyacute số CRL vagrave caacutec thocircng tin tối thiểu về chứng thư số được aacutenh xạ từ
cơ sở dữ liệu gốc necircu trecircn
22 Cocircng bố thocircng tin về chứng thư số
Cơ sở dữ liệu thocircng tin về chứng thư số của Cocircng ty cổ phần Chứng số An
Toagraven được đảm bảo duy trigrave thường xuyecircn liecircn tục cung cấp cho thuecirc bao vagrave người
nhận khả năng kiểm tra trạng thaacutei chứng thư số cũng như thocircng tin về chiacutenh saacutech
Quy chế chứng thực của Cocircng ty
Caacutec thocircng tin bao gồm
- Thocircng tin về danh saacutech chứng thư số đatilde được cấp
- Thocircng tin về danh saacutech chứng thư số đatilde bị tạm dừng thu hồi
- Thocircng tin về chiacutenh saacutech Quy chế chứng thực chữ kyacute số Địa chỉ cocircng bố
- Caacutec thocircng tin khaacutec coacute liecircn quan (mẫu hợp đồng chiacutenh saacutech hellip)
Caacutec thocircng tin trecircn sẽ được cocircng bố tại website của Cocircng ty cổ phần Chứng số
An Toagraven coacute địa chỉ wwwSAFECertcomvn
23 Thocircng tin về tần suất cocircng bố
- Đối với caacutec thocircng tin về chứng thư số được cập nhật thường xuyecircn liecircn tục
vagrave cho pheacutep truy cập 247
- Đối với caacutec thocircng tin về Quy chế chứng thực chữ kyacute số chiacutenh saacutech được cập
nhật khi coacute sự thay đổi
24 Kiểm soaacutet truy cập vagraveo kho lưu trữ
- Caacutec thocircng tin về chứng thư số được cocircng bố cocircng khai trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven chỉ cho pheacutep người sử dụng được quyền xem
download vagrave khocircng được pheacutep chỉnh sửa bổ sung
- Caacutec thocircng tin về chiacutenh saacutech quy chế chứng thực chữ kyacute số được cập nhật vagrave
cocircng bố cocircng khai khi coacute thay đổi Chỉ coacute Cocircng ty cổ phần Chứng số An Toagraven mới
coacute quyền thay đổi bổ sung cập nhật
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 6: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/6.jpg)
6
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng 51 916 Điều khoản chung 51
917 Điều khoản khaacutec 51 X TAgraveI LIỆU THAM CHIẾU 52
101 Tiecircu chuẩn aacutep dụng 52
102 Caacutec địa chỉ lưu trữ trực tuyến 55
7
I GIỚI THIỆU
11 Giới thiệu về tagravei liệu Quy chế chứng thực
Quy chế chứng thực nagravey lagrave tuyecircn bố về mặt nguyecircn tắc của Cocircng ty cổ phần
Chứng số An Toagraven thể hiện quy trigravenh cung cấp dịch vụ chứng thực chữ kyacute số của
Cocircng ty
Nội dung của Quy chế nagravey bao gồm caacutec điều kiện quy trigravenh về mặt phaacutep lyacute
kỹ thuật vagrave kinh doanh trong quaacute trigravenh cấp phaacutet quản lyacute tạm dừng thu hồi vagrave cấp lại
mới chứng thư số cũng như việc sử dụng chứng thư số Caacutec nội dung nagravey được thực
hiện một caacutech bắt buộc đối với mọi thagravenh phần tham gia cung cấp sử dụng dịch vụ
chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An Toagraven nhằm đảm bảo tiacutenh an
toagraven bảo mật cho dịch vụ thocircng tin trecircn chứng thư số
Quy chế chứng thực nagravey được xacircy dựng tuacircn thủ theo caacutec quy định của phaacutep
luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng cộng tiecircu chuẩn RFC 3647 vagrave
caacutec quy định phaacutep luật khaacutec coacute liecircn quan
12 Tecircn vagrave định danh của tagravei liệu
Tagravei liệu nagravey do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh với tecircn gọi ldquoQuy
chế chứng thực chữ kyacute số cocircng cộng của Cocircng ty cổ phần Chứng số An Toagravenrdquo (gọi
tắt lagrave Quy chế chứng thực chữ kyacute số)
13 Thagravenh viecircn tham gia hệ thống
Caacutec thagravenh viecircn tham gia hệ thống cung cấp dịch vụ chứng thực chữ kyacute số cocircng
cộng của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Cocircng ty cổ phần Chứng số An Toagraven (viết tắt lagrave SAFE-CA) lagrave tổ chức cung
cấp dịch vụ chứng thực chữ kyacute điện tử thực hiện hoạt động cung cấp dịch vụ chứng
thực chữ kyacute số
- Đơn vị tiếp nhận yecircu cầu cấp chứng thư số vagrave xaacutec thực thocircng tin thuecirc bao RA
(viết tắt lagrave SAFE-CA RA)
- Thuecirc bao dịch vụ chứng thực chữ kyacute số lagrave tổ chức caacute nhacircn được cấp chứng
thư số chấp nhận chứng thư số vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi
trecircn chứng thư số được cấp đoacute
- Người nhận lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng
điệp dữ liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
8
Sơ đồ tổ chức hệ thống CA của Cocircng ty cổ phần Chứng số An Toagraven như sau
a) SAFE-CA
Đacircy lagrave thagravenh phần quan trọng nhất trong hệ thống lagrave bộ phận tổng thể caacutec
phần cứng phần mềm bảo mật lagravem nhiệm vụ xaacutec thực thocircng tin thuecirc bao đảm bảo
toagraven vẹn biacute mật caacutec thocircng tin nagravey Chức năng chiacutenh của SAFE-CA bao gồm
- Tạo khoacutea cocircng khai cho thuecirc bao
- Phacircn phối khoaacute cho thuecirc bao
- Tạm dừng gia hạn thu hồi khocirci phục chứng thư số của thuecirc bao
- Cung cấp cơ sở dữ liệu trực tuyến về tigravenh trạng chứng thư số quản lyacute bao
gồm danh saacutech caacutec chứng thư số đatilde cấp cograven hiệu lực đatilde hết hạn bị tạm dừng bị thu
hồi đatilde khocirci phục
- Cung cấp caacutec dịch vụ khaacutec (dịch vụ ứng dụng hellip) cho thuecirc bao vagrave người sử
dụng thocircng tin chứng thư số
Để phục vụ cho việc thực hiện caacutec chức năng trecircn của SAFE-CA thigrave việc tiếp
nhận yecircu cầu cấp gia hạn tạm dừng thu hồi khocirci phục chứng thư số vagrave xaacutec thực
thocircng tin thuecirc bao sẽ được uỷ quyền cho caacutec đơn vị chức năng lagrave SAFE-CA RA
b) SAFE-CA RA
SAFE-CA RA lagrave đơn vị được SAFE-CA uỷ quyền coacute chức năng tiếp nhận yecircu
cầu của thuecirc bao vagrave xaacutec thực thocircng tin thuecirc bao Nhiệm vụ chiacutenh của SAFE-CA RA
bao gồm
- Tiếp nhận caacutec yecircu cầu từ thuecirc bao (cấp mới gia hạn tạm dừng thu hồi khocirci
phục) vagrave chuyển yecircu cầu nagravey về SAFE-CA thocircng qua hệ thống thiết bị kết nối với
SAFE-CA vagrave phương thức nhacircn cocircng (đối với caacutec hồ sơ về thocircng tin thuecirc bao)
ROOT CA
(CA quản lyacute toagraven bộ
hệ thống PKI Việt Nam)
SAFE-CA
SAFE-CA RA-1 SAFE-CA RA-2 SAFE-CA RA-n
9
- Xaacutec thực thocircng tin thuecirc bao nhằm đảm bảo tiacutenh chiacutenh xaacutec của caacutec yecircu cầu vagrave
thocircng tin về nhacircn thacircn của thuecirc bao
c) Thuecirc bao dịch vụ chứng thực chữ kyacute số (gọi tắt lagrave thuecirc bao) lagrave caacutec tổ chứccaacute nhacircn
coacute đủ điều kiện theo quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute
số vagrave quy định tại Quy chế chứng thực chữ kyacute số nagravey đồng yacute sử dụng vagrave được Cocircng
ty cổ phần Chứng số An Toagraven SAFE-CA cấp chứng thư số
d) Người nhận Lagrave caacutec tổ chứccaacute nhacircn sử dụng dịch vụ xaacutec thực thocircng tin thuecirc bao
dịch vụ chứng thực chữ kyacute số thocircng qua hệ thống cung cấp dịch vụ chữ kyacute số của
Cocircng ty cổ phần Chứng số An Toagraven
14 Phương thức sử dụng chứng thư số
SAFE-CA cung cấp caacutec loại chứng thư số sau
Chứng thư số caacute nhacircn cho người dugraveng caacute nhacircn hoặc tổ chức doanh
nghiệp
Chứng thư số SSL
Chứng thư số Code Signing
- Caacutec chứng thư được cung cấp với caacutec độ dagravei khoacutea 512 bit 1024 bit 2048
bit 4096 bit Thời gian hiệu lực chứng thư số khoảng từ 6 thaacuteng đến 3 năm tugravey thuộc
vagraveo độ dagravei cặp khoacutea
- Mọi chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp được sử dụng
theo caacutec quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng
cộng
- Thuecirc bao phảỉ sử dụng chứng thư số đatilde được Cocircng ty cổ phần Chứng số An
Toagraven cấp đuacuteng mục điacutech đuacuteng quy định của phaacutep luật vagrave phải chịu mọi traacutech nhiệm
traacutech nhiệm khi sử dụng chứng thư số trong caacutec trường hợp đogravei hỏi mức độ an toagraven
tuyệt đối coacute ảnh hưởng trực tiếp đến mocirci trường tự nhiecircn sinh mạng con người
10
15 Tổ chức quản lyacute chiacutenh saacutech
151 Tổ chức quản trị tagravei liệu
Cocircng ty cổ phần Chứng số An Toagraven lagrave đơn vị tổ chức ban hagravenh quản lyacute toagraven
bộ Quy chế chứng thực chữ kyacute số nagravey
152 Liecircn hệ
Cocircng ty Cổ phần Chứng Số An Toagraven (SAFE-CA)
Địa chỉ X-0477 Togravea nhagrave North Towers Sunrise City 27 Nguyễn Hữu Thọ
Phường Tacircn Hưng Quận 7 TPHCM
Điện thoại 08 66823732
Email infoSAFECertcomvn
153 Tổ chức phecirc chuẩn quy chế chứng thực
- Cocircng ty cổ phần Chứng số An Toagraven thagravenh lập hội đồng đaacutenh giaacute phecirc chuẩn
nhằm mục điacutech xem xeacutet vagrave phecirc chuẩn Quy chế chứng thực chữ kyacute số nagravey
154 Thủ tục phecirc chuẩn quy chế chứng thực
Trong từng thời kỳ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng ban hagravenh
vagrave Hội đồng phecirc chuẩn sẽ phecirc chuẩn Quy chế chứng thực chữ kyacute số do bộ phận phaacutep
lyacute của Cocircng ty trigravenh lecircn Mọi thay đổi trong Quy chế chứng thực chữ kyacute số nagravey đều
phải đảm bảo tuacircn thủ đuacuteng quy định của phaacutep luật Việt Nam về dịch vụ chứng thực
chữ kyacute số cocircng cộng phugrave hợp với tiecircu chuẩn RFC 3647 vagrave đảm bảo khocircng ảnh hưởng
đến quyền lợi của thuecirc bao
Quy trigravenh thủ tục phecirc chuẩn như sau
- Bộ phận phaacutep lyacute của Cocircng ty chịu traacutech nhiệm xacircy dựng toacutem tắt tổng hợp
so saacutenh caacutec nội dung sửa đổi (nếu coacute) vagrave trigravenh lecircn Ban Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty giao bộ phận dịch vụ nghiecircn cứu kiểm tra tiacutenh khả
thi mức độ ảnh hưởng đến thuecirc bao vagrave baacuteo caacuteo lại Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty họp xem xeacutet quyết định phecirc chuẩn
16 Định nghĩa vagrave viết tắt
- Chứng thư số lagrave một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số cấp
- Chứng thư số nước ngoagravei lagrave chứng thư số do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số nước ngoagravei cấp
- ldquoChứng thư số coacute hiệu lựcrdquo lagrave chứng thư số chưa hết hạn khocircng bị tạm dừng hoặc
11
bị thu hồi
- Chữ kyacute số lagrave một dạng chữ kyacute điện tử được tạo ra bằng sự biến đổi một thocircng
điệp dữ liệu sử dụng hệ thống mật matilde khocircng đối xứng theo đoacute người coacute được thocircng điệp
dữ liệu ban đầu vagrave khoaacute cocircng khai của người kyacute coacute thể xaacutec định được chiacutenh xaacutec
+ Việc biến đổi necircu trecircn được tạo ra bằng đuacuteng khoaacute biacute mật tương ứng với khoaacute
cocircng khai trong cugraveng một cặp khoacutea
+ Sự toagraven vẹn nội dung của thocircng điệp dữ liệu kể từ khi thực hiện việc biến đổi necircu
trecircn
- ldquoDịch vụ chứng thực chữ kyacute sốrdquo lagrave một loại higravenh dịch vụ chứng thực chữ kyacute điện
tử do tổ chức cung cấp dịch vụ chứng thực chữ kyacute số cấp Dịch vụ chứng thực chữ kyacute
số bao gồm
+ Cấp gia hạn tạm dừng phục hồi vagrave thu hồi chứng thư số của thuecirc bao
+ Duy trigrave trực tuyến cơ sở dữ liệu về chứng thư số
+ Những dịch vụ khaacutec coacute liecircn quan theo quy định
- ldquoHệ thống mật matilde khocircng đối xứngrdquo lagrave hệ thống mật matilde coacute khả năng tạo được cặp
khoacutea bao gồm khoaacute biacute mật vagrave khoaacute cocircng khai
- ldquoKhoaacuterdquo lagrave một chuỗi caacutec số nhị phacircn (0 vagrave 1) dugraveng trong caacutec hệ thống mật matilde
- ldquoKhoacutea biacute mậtrdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối xứng
được dugraveng để tạo chữ kyacute số
- ldquoKhoacutea cocircng khairdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối
xứng được sử dụng để kiểm tra chữ kyacute số được tạo bởi khoaacute biacute mật tương ứng trong cặp
khoaacute
- ldquoKyacute sốrdquo lagrave việc đưa khoacutea biacute mật vagraveo một chương trigravenh phần mềm để tự động tạo
vagrave gắn chữ kyacute số vagraveo thocircng điệp dữ liệu
- ldquoNgười kyacuterdquo lagrave thuecirc bao dugraveng đuacuteng khoaacute biacute mật của migravenh để kyacute số vagraveo một thocircng
điệp dữ liệu dưới tecircn của migravenh
- ldquoNgười nhậnrdquo lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng điệp dữ
liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
- ldquoThuecirc baordquo lagrave tổ chức caacute nhacircn được cấp chứng thư số chấp nhận chứng thư số
vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi trecircn chứng thư số được cấp đoacute
- ldquoTạm dừng chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech tạm thời
từ một thời điểm xaacutec định
- ldquoThu hồi chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech vĩnh viễn
từ một thời điểm xaacutec định
12
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ
21 Kho lưu trữ
Caacutec thocircng tin về thuecirc bao vagrave chứng thư số được lưu trữ tập trung bảo mật an
toagraven hạn chế tiếp xuacutec với mocirci trường mạng Internet
Caacutec thocircng tin được lưu trữ trực tuyến lagrave caacutec thocircng tin về chiacutenh saacutech Quy chế
chứng thực chữ kyacute số CRL vagrave caacutec thocircng tin tối thiểu về chứng thư số được aacutenh xạ từ
cơ sở dữ liệu gốc necircu trecircn
22 Cocircng bố thocircng tin về chứng thư số
Cơ sở dữ liệu thocircng tin về chứng thư số của Cocircng ty cổ phần Chứng số An
Toagraven được đảm bảo duy trigrave thường xuyecircn liecircn tục cung cấp cho thuecirc bao vagrave người
nhận khả năng kiểm tra trạng thaacutei chứng thư số cũng như thocircng tin về chiacutenh saacutech
Quy chế chứng thực của Cocircng ty
Caacutec thocircng tin bao gồm
- Thocircng tin về danh saacutech chứng thư số đatilde được cấp
- Thocircng tin về danh saacutech chứng thư số đatilde bị tạm dừng thu hồi
- Thocircng tin về chiacutenh saacutech Quy chế chứng thực chữ kyacute số Địa chỉ cocircng bố
- Caacutec thocircng tin khaacutec coacute liecircn quan (mẫu hợp đồng chiacutenh saacutech hellip)
Caacutec thocircng tin trecircn sẽ được cocircng bố tại website của Cocircng ty cổ phần Chứng số
An Toagraven coacute địa chỉ wwwSAFECertcomvn
23 Thocircng tin về tần suất cocircng bố
- Đối với caacutec thocircng tin về chứng thư số được cập nhật thường xuyecircn liecircn tục
vagrave cho pheacutep truy cập 247
- Đối với caacutec thocircng tin về Quy chế chứng thực chữ kyacute số chiacutenh saacutech được cập
nhật khi coacute sự thay đổi
24 Kiểm soaacutet truy cập vagraveo kho lưu trữ
- Caacutec thocircng tin về chứng thư số được cocircng bố cocircng khai trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven chỉ cho pheacutep người sử dụng được quyền xem
download vagrave khocircng được pheacutep chỉnh sửa bổ sung
- Caacutec thocircng tin về chiacutenh saacutech quy chế chứng thực chữ kyacute số được cập nhật vagrave
cocircng bố cocircng khai khi coacute thay đổi Chỉ coacute Cocircng ty cổ phần Chứng số An Toagraven mới
coacute quyền thay đổi bổ sung cập nhật
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 7: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/7.jpg)
7
I GIỚI THIỆU
11 Giới thiệu về tagravei liệu Quy chế chứng thực
Quy chế chứng thực nagravey lagrave tuyecircn bố về mặt nguyecircn tắc của Cocircng ty cổ phần
Chứng số An Toagraven thể hiện quy trigravenh cung cấp dịch vụ chứng thực chữ kyacute số của
Cocircng ty
Nội dung của Quy chế nagravey bao gồm caacutec điều kiện quy trigravenh về mặt phaacutep lyacute
kỹ thuật vagrave kinh doanh trong quaacute trigravenh cấp phaacutet quản lyacute tạm dừng thu hồi vagrave cấp lại
mới chứng thư số cũng như việc sử dụng chứng thư số Caacutec nội dung nagravey được thực
hiện một caacutech bắt buộc đối với mọi thagravenh phần tham gia cung cấp sử dụng dịch vụ
chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An Toagraven nhằm đảm bảo tiacutenh an
toagraven bảo mật cho dịch vụ thocircng tin trecircn chứng thư số
Quy chế chứng thực nagravey được xacircy dựng tuacircn thủ theo caacutec quy định của phaacutep
luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng cộng tiecircu chuẩn RFC 3647 vagrave
caacutec quy định phaacutep luật khaacutec coacute liecircn quan
12 Tecircn vagrave định danh của tagravei liệu
Tagravei liệu nagravey do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh với tecircn gọi ldquoQuy
chế chứng thực chữ kyacute số cocircng cộng của Cocircng ty cổ phần Chứng số An Toagravenrdquo (gọi
tắt lagrave Quy chế chứng thực chữ kyacute số)
13 Thagravenh viecircn tham gia hệ thống
Caacutec thagravenh viecircn tham gia hệ thống cung cấp dịch vụ chứng thực chữ kyacute số cocircng
cộng của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Cocircng ty cổ phần Chứng số An Toagraven (viết tắt lagrave SAFE-CA) lagrave tổ chức cung
cấp dịch vụ chứng thực chữ kyacute điện tử thực hiện hoạt động cung cấp dịch vụ chứng
thực chữ kyacute số
- Đơn vị tiếp nhận yecircu cầu cấp chứng thư số vagrave xaacutec thực thocircng tin thuecirc bao RA
(viết tắt lagrave SAFE-CA RA)
- Thuecirc bao dịch vụ chứng thực chữ kyacute số lagrave tổ chức caacute nhacircn được cấp chứng
thư số chấp nhận chứng thư số vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi
trecircn chứng thư số được cấp đoacute
- Người nhận lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng
điệp dữ liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
8
Sơ đồ tổ chức hệ thống CA của Cocircng ty cổ phần Chứng số An Toagraven như sau
a) SAFE-CA
Đacircy lagrave thagravenh phần quan trọng nhất trong hệ thống lagrave bộ phận tổng thể caacutec
phần cứng phần mềm bảo mật lagravem nhiệm vụ xaacutec thực thocircng tin thuecirc bao đảm bảo
toagraven vẹn biacute mật caacutec thocircng tin nagravey Chức năng chiacutenh của SAFE-CA bao gồm
- Tạo khoacutea cocircng khai cho thuecirc bao
- Phacircn phối khoaacute cho thuecirc bao
- Tạm dừng gia hạn thu hồi khocirci phục chứng thư số của thuecirc bao
- Cung cấp cơ sở dữ liệu trực tuyến về tigravenh trạng chứng thư số quản lyacute bao
gồm danh saacutech caacutec chứng thư số đatilde cấp cograven hiệu lực đatilde hết hạn bị tạm dừng bị thu
hồi đatilde khocirci phục
- Cung cấp caacutec dịch vụ khaacutec (dịch vụ ứng dụng hellip) cho thuecirc bao vagrave người sử
dụng thocircng tin chứng thư số
Để phục vụ cho việc thực hiện caacutec chức năng trecircn của SAFE-CA thigrave việc tiếp
nhận yecircu cầu cấp gia hạn tạm dừng thu hồi khocirci phục chứng thư số vagrave xaacutec thực
thocircng tin thuecirc bao sẽ được uỷ quyền cho caacutec đơn vị chức năng lagrave SAFE-CA RA
b) SAFE-CA RA
SAFE-CA RA lagrave đơn vị được SAFE-CA uỷ quyền coacute chức năng tiếp nhận yecircu
cầu của thuecirc bao vagrave xaacutec thực thocircng tin thuecirc bao Nhiệm vụ chiacutenh của SAFE-CA RA
bao gồm
- Tiếp nhận caacutec yecircu cầu từ thuecirc bao (cấp mới gia hạn tạm dừng thu hồi khocirci
phục) vagrave chuyển yecircu cầu nagravey về SAFE-CA thocircng qua hệ thống thiết bị kết nối với
SAFE-CA vagrave phương thức nhacircn cocircng (đối với caacutec hồ sơ về thocircng tin thuecirc bao)
ROOT CA
(CA quản lyacute toagraven bộ
hệ thống PKI Việt Nam)
SAFE-CA
SAFE-CA RA-1 SAFE-CA RA-2 SAFE-CA RA-n
9
- Xaacutec thực thocircng tin thuecirc bao nhằm đảm bảo tiacutenh chiacutenh xaacutec của caacutec yecircu cầu vagrave
thocircng tin về nhacircn thacircn của thuecirc bao
c) Thuecirc bao dịch vụ chứng thực chữ kyacute số (gọi tắt lagrave thuecirc bao) lagrave caacutec tổ chứccaacute nhacircn
coacute đủ điều kiện theo quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute
số vagrave quy định tại Quy chế chứng thực chữ kyacute số nagravey đồng yacute sử dụng vagrave được Cocircng
ty cổ phần Chứng số An Toagraven SAFE-CA cấp chứng thư số
d) Người nhận Lagrave caacutec tổ chứccaacute nhacircn sử dụng dịch vụ xaacutec thực thocircng tin thuecirc bao
dịch vụ chứng thực chữ kyacute số thocircng qua hệ thống cung cấp dịch vụ chữ kyacute số của
Cocircng ty cổ phần Chứng số An Toagraven
14 Phương thức sử dụng chứng thư số
SAFE-CA cung cấp caacutec loại chứng thư số sau
Chứng thư số caacute nhacircn cho người dugraveng caacute nhacircn hoặc tổ chức doanh
nghiệp
Chứng thư số SSL
Chứng thư số Code Signing
- Caacutec chứng thư được cung cấp với caacutec độ dagravei khoacutea 512 bit 1024 bit 2048
bit 4096 bit Thời gian hiệu lực chứng thư số khoảng từ 6 thaacuteng đến 3 năm tugravey thuộc
vagraveo độ dagravei cặp khoacutea
- Mọi chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp được sử dụng
theo caacutec quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng
cộng
- Thuecirc bao phảỉ sử dụng chứng thư số đatilde được Cocircng ty cổ phần Chứng số An
Toagraven cấp đuacuteng mục điacutech đuacuteng quy định của phaacutep luật vagrave phải chịu mọi traacutech nhiệm
traacutech nhiệm khi sử dụng chứng thư số trong caacutec trường hợp đogravei hỏi mức độ an toagraven
tuyệt đối coacute ảnh hưởng trực tiếp đến mocirci trường tự nhiecircn sinh mạng con người
10
15 Tổ chức quản lyacute chiacutenh saacutech
151 Tổ chức quản trị tagravei liệu
Cocircng ty cổ phần Chứng số An Toagraven lagrave đơn vị tổ chức ban hagravenh quản lyacute toagraven
bộ Quy chế chứng thực chữ kyacute số nagravey
152 Liecircn hệ
Cocircng ty Cổ phần Chứng Số An Toagraven (SAFE-CA)
Địa chỉ X-0477 Togravea nhagrave North Towers Sunrise City 27 Nguyễn Hữu Thọ
Phường Tacircn Hưng Quận 7 TPHCM
Điện thoại 08 66823732
Email infoSAFECertcomvn
153 Tổ chức phecirc chuẩn quy chế chứng thực
- Cocircng ty cổ phần Chứng số An Toagraven thagravenh lập hội đồng đaacutenh giaacute phecirc chuẩn
nhằm mục điacutech xem xeacutet vagrave phecirc chuẩn Quy chế chứng thực chữ kyacute số nagravey
154 Thủ tục phecirc chuẩn quy chế chứng thực
Trong từng thời kỳ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng ban hagravenh
vagrave Hội đồng phecirc chuẩn sẽ phecirc chuẩn Quy chế chứng thực chữ kyacute số do bộ phận phaacutep
lyacute của Cocircng ty trigravenh lecircn Mọi thay đổi trong Quy chế chứng thực chữ kyacute số nagravey đều
phải đảm bảo tuacircn thủ đuacuteng quy định của phaacutep luật Việt Nam về dịch vụ chứng thực
chữ kyacute số cocircng cộng phugrave hợp với tiecircu chuẩn RFC 3647 vagrave đảm bảo khocircng ảnh hưởng
đến quyền lợi của thuecirc bao
Quy trigravenh thủ tục phecirc chuẩn như sau
- Bộ phận phaacutep lyacute của Cocircng ty chịu traacutech nhiệm xacircy dựng toacutem tắt tổng hợp
so saacutenh caacutec nội dung sửa đổi (nếu coacute) vagrave trigravenh lecircn Ban Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty giao bộ phận dịch vụ nghiecircn cứu kiểm tra tiacutenh khả
thi mức độ ảnh hưởng đến thuecirc bao vagrave baacuteo caacuteo lại Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty họp xem xeacutet quyết định phecirc chuẩn
16 Định nghĩa vagrave viết tắt
- Chứng thư số lagrave một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số cấp
- Chứng thư số nước ngoagravei lagrave chứng thư số do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số nước ngoagravei cấp
- ldquoChứng thư số coacute hiệu lựcrdquo lagrave chứng thư số chưa hết hạn khocircng bị tạm dừng hoặc
11
bị thu hồi
- Chữ kyacute số lagrave một dạng chữ kyacute điện tử được tạo ra bằng sự biến đổi một thocircng
điệp dữ liệu sử dụng hệ thống mật matilde khocircng đối xứng theo đoacute người coacute được thocircng điệp
dữ liệu ban đầu vagrave khoaacute cocircng khai của người kyacute coacute thể xaacutec định được chiacutenh xaacutec
+ Việc biến đổi necircu trecircn được tạo ra bằng đuacuteng khoaacute biacute mật tương ứng với khoaacute
cocircng khai trong cugraveng một cặp khoacutea
+ Sự toagraven vẹn nội dung của thocircng điệp dữ liệu kể từ khi thực hiện việc biến đổi necircu
trecircn
- ldquoDịch vụ chứng thực chữ kyacute sốrdquo lagrave một loại higravenh dịch vụ chứng thực chữ kyacute điện
tử do tổ chức cung cấp dịch vụ chứng thực chữ kyacute số cấp Dịch vụ chứng thực chữ kyacute
số bao gồm
+ Cấp gia hạn tạm dừng phục hồi vagrave thu hồi chứng thư số của thuecirc bao
+ Duy trigrave trực tuyến cơ sở dữ liệu về chứng thư số
+ Những dịch vụ khaacutec coacute liecircn quan theo quy định
- ldquoHệ thống mật matilde khocircng đối xứngrdquo lagrave hệ thống mật matilde coacute khả năng tạo được cặp
khoacutea bao gồm khoaacute biacute mật vagrave khoaacute cocircng khai
- ldquoKhoaacuterdquo lagrave một chuỗi caacutec số nhị phacircn (0 vagrave 1) dugraveng trong caacutec hệ thống mật matilde
- ldquoKhoacutea biacute mậtrdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối xứng
được dugraveng để tạo chữ kyacute số
- ldquoKhoacutea cocircng khairdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối
xứng được sử dụng để kiểm tra chữ kyacute số được tạo bởi khoaacute biacute mật tương ứng trong cặp
khoaacute
- ldquoKyacute sốrdquo lagrave việc đưa khoacutea biacute mật vagraveo một chương trigravenh phần mềm để tự động tạo
vagrave gắn chữ kyacute số vagraveo thocircng điệp dữ liệu
- ldquoNgười kyacuterdquo lagrave thuecirc bao dugraveng đuacuteng khoaacute biacute mật của migravenh để kyacute số vagraveo một thocircng
điệp dữ liệu dưới tecircn của migravenh
- ldquoNgười nhậnrdquo lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng điệp dữ
liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
- ldquoThuecirc baordquo lagrave tổ chức caacute nhacircn được cấp chứng thư số chấp nhận chứng thư số
vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi trecircn chứng thư số được cấp đoacute
- ldquoTạm dừng chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech tạm thời
từ một thời điểm xaacutec định
- ldquoThu hồi chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech vĩnh viễn
từ một thời điểm xaacutec định
12
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ
21 Kho lưu trữ
Caacutec thocircng tin về thuecirc bao vagrave chứng thư số được lưu trữ tập trung bảo mật an
toagraven hạn chế tiếp xuacutec với mocirci trường mạng Internet
Caacutec thocircng tin được lưu trữ trực tuyến lagrave caacutec thocircng tin về chiacutenh saacutech Quy chế
chứng thực chữ kyacute số CRL vagrave caacutec thocircng tin tối thiểu về chứng thư số được aacutenh xạ từ
cơ sở dữ liệu gốc necircu trecircn
22 Cocircng bố thocircng tin về chứng thư số
Cơ sở dữ liệu thocircng tin về chứng thư số của Cocircng ty cổ phần Chứng số An
Toagraven được đảm bảo duy trigrave thường xuyecircn liecircn tục cung cấp cho thuecirc bao vagrave người
nhận khả năng kiểm tra trạng thaacutei chứng thư số cũng như thocircng tin về chiacutenh saacutech
Quy chế chứng thực của Cocircng ty
Caacutec thocircng tin bao gồm
- Thocircng tin về danh saacutech chứng thư số đatilde được cấp
- Thocircng tin về danh saacutech chứng thư số đatilde bị tạm dừng thu hồi
- Thocircng tin về chiacutenh saacutech Quy chế chứng thực chữ kyacute số Địa chỉ cocircng bố
- Caacutec thocircng tin khaacutec coacute liecircn quan (mẫu hợp đồng chiacutenh saacutech hellip)
Caacutec thocircng tin trecircn sẽ được cocircng bố tại website của Cocircng ty cổ phần Chứng số
An Toagraven coacute địa chỉ wwwSAFECertcomvn
23 Thocircng tin về tần suất cocircng bố
- Đối với caacutec thocircng tin về chứng thư số được cập nhật thường xuyecircn liecircn tục
vagrave cho pheacutep truy cập 247
- Đối với caacutec thocircng tin về Quy chế chứng thực chữ kyacute số chiacutenh saacutech được cập
nhật khi coacute sự thay đổi
24 Kiểm soaacutet truy cập vagraveo kho lưu trữ
- Caacutec thocircng tin về chứng thư số được cocircng bố cocircng khai trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven chỉ cho pheacutep người sử dụng được quyền xem
download vagrave khocircng được pheacutep chỉnh sửa bổ sung
- Caacutec thocircng tin về chiacutenh saacutech quy chế chứng thực chữ kyacute số được cập nhật vagrave
cocircng bố cocircng khai khi coacute thay đổi Chỉ coacute Cocircng ty cổ phần Chứng số An Toagraven mới
coacute quyền thay đổi bổ sung cập nhật
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 8: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/8.jpg)
8
Sơ đồ tổ chức hệ thống CA của Cocircng ty cổ phần Chứng số An Toagraven như sau
a) SAFE-CA
Đacircy lagrave thagravenh phần quan trọng nhất trong hệ thống lagrave bộ phận tổng thể caacutec
phần cứng phần mềm bảo mật lagravem nhiệm vụ xaacutec thực thocircng tin thuecirc bao đảm bảo
toagraven vẹn biacute mật caacutec thocircng tin nagravey Chức năng chiacutenh của SAFE-CA bao gồm
- Tạo khoacutea cocircng khai cho thuecirc bao
- Phacircn phối khoaacute cho thuecirc bao
- Tạm dừng gia hạn thu hồi khocirci phục chứng thư số của thuecirc bao
- Cung cấp cơ sở dữ liệu trực tuyến về tigravenh trạng chứng thư số quản lyacute bao
gồm danh saacutech caacutec chứng thư số đatilde cấp cograven hiệu lực đatilde hết hạn bị tạm dừng bị thu
hồi đatilde khocirci phục
- Cung cấp caacutec dịch vụ khaacutec (dịch vụ ứng dụng hellip) cho thuecirc bao vagrave người sử
dụng thocircng tin chứng thư số
Để phục vụ cho việc thực hiện caacutec chức năng trecircn của SAFE-CA thigrave việc tiếp
nhận yecircu cầu cấp gia hạn tạm dừng thu hồi khocirci phục chứng thư số vagrave xaacutec thực
thocircng tin thuecirc bao sẽ được uỷ quyền cho caacutec đơn vị chức năng lagrave SAFE-CA RA
b) SAFE-CA RA
SAFE-CA RA lagrave đơn vị được SAFE-CA uỷ quyền coacute chức năng tiếp nhận yecircu
cầu của thuecirc bao vagrave xaacutec thực thocircng tin thuecirc bao Nhiệm vụ chiacutenh của SAFE-CA RA
bao gồm
- Tiếp nhận caacutec yecircu cầu từ thuecirc bao (cấp mới gia hạn tạm dừng thu hồi khocirci
phục) vagrave chuyển yecircu cầu nagravey về SAFE-CA thocircng qua hệ thống thiết bị kết nối với
SAFE-CA vagrave phương thức nhacircn cocircng (đối với caacutec hồ sơ về thocircng tin thuecirc bao)
ROOT CA
(CA quản lyacute toagraven bộ
hệ thống PKI Việt Nam)
SAFE-CA
SAFE-CA RA-1 SAFE-CA RA-2 SAFE-CA RA-n
9
- Xaacutec thực thocircng tin thuecirc bao nhằm đảm bảo tiacutenh chiacutenh xaacutec của caacutec yecircu cầu vagrave
thocircng tin về nhacircn thacircn của thuecirc bao
c) Thuecirc bao dịch vụ chứng thực chữ kyacute số (gọi tắt lagrave thuecirc bao) lagrave caacutec tổ chứccaacute nhacircn
coacute đủ điều kiện theo quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute
số vagrave quy định tại Quy chế chứng thực chữ kyacute số nagravey đồng yacute sử dụng vagrave được Cocircng
ty cổ phần Chứng số An Toagraven SAFE-CA cấp chứng thư số
d) Người nhận Lagrave caacutec tổ chứccaacute nhacircn sử dụng dịch vụ xaacutec thực thocircng tin thuecirc bao
dịch vụ chứng thực chữ kyacute số thocircng qua hệ thống cung cấp dịch vụ chữ kyacute số của
Cocircng ty cổ phần Chứng số An Toagraven
14 Phương thức sử dụng chứng thư số
SAFE-CA cung cấp caacutec loại chứng thư số sau
Chứng thư số caacute nhacircn cho người dugraveng caacute nhacircn hoặc tổ chức doanh
nghiệp
Chứng thư số SSL
Chứng thư số Code Signing
- Caacutec chứng thư được cung cấp với caacutec độ dagravei khoacutea 512 bit 1024 bit 2048
bit 4096 bit Thời gian hiệu lực chứng thư số khoảng từ 6 thaacuteng đến 3 năm tugravey thuộc
vagraveo độ dagravei cặp khoacutea
- Mọi chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp được sử dụng
theo caacutec quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng
cộng
- Thuecirc bao phảỉ sử dụng chứng thư số đatilde được Cocircng ty cổ phần Chứng số An
Toagraven cấp đuacuteng mục điacutech đuacuteng quy định của phaacutep luật vagrave phải chịu mọi traacutech nhiệm
traacutech nhiệm khi sử dụng chứng thư số trong caacutec trường hợp đogravei hỏi mức độ an toagraven
tuyệt đối coacute ảnh hưởng trực tiếp đến mocirci trường tự nhiecircn sinh mạng con người
10
15 Tổ chức quản lyacute chiacutenh saacutech
151 Tổ chức quản trị tagravei liệu
Cocircng ty cổ phần Chứng số An Toagraven lagrave đơn vị tổ chức ban hagravenh quản lyacute toagraven
bộ Quy chế chứng thực chữ kyacute số nagravey
152 Liecircn hệ
Cocircng ty Cổ phần Chứng Số An Toagraven (SAFE-CA)
Địa chỉ X-0477 Togravea nhagrave North Towers Sunrise City 27 Nguyễn Hữu Thọ
Phường Tacircn Hưng Quận 7 TPHCM
Điện thoại 08 66823732
Email infoSAFECertcomvn
153 Tổ chức phecirc chuẩn quy chế chứng thực
- Cocircng ty cổ phần Chứng số An Toagraven thagravenh lập hội đồng đaacutenh giaacute phecirc chuẩn
nhằm mục điacutech xem xeacutet vagrave phecirc chuẩn Quy chế chứng thực chữ kyacute số nagravey
154 Thủ tục phecirc chuẩn quy chế chứng thực
Trong từng thời kỳ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng ban hagravenh
vagrave Hội đồng phecirc chuẩn sẽ phecirc chuẩn Quy chế chứng thực chữ kyacute số do bộ phận phaacutep
lyacute của Cocircng ty trigravenh lecircn Mọi thay đổi trong Quy chế chứng thực chữ kyacute số nagravey đều
phải đảm bảo tuacircn thủ đuacuteng quy định của phaacutep luật Việt Nam về dịch vụ chứng thực
chữ kyacute số cocircng cộng phugrave hợp với tiecircu chuẩn RFC 3647 vagrave đảm bảo khocircng ảnh hưởng
đến quyền lợi của thuecirc bao
Quy trigravenh thủ tục phecirc chuẩn như sau
- Bộ phận phaacutep lyacute của Cocircng ty chịu traacutech nhiệm xacircy dựng toacutem tắt tổng hợp
so saacutenh caacutec nội dung sửa đổi (nếu coacute) vagrave trigravenh lecircn Ban Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty giao bộ phận dịch vụ nghiecircn cứu kiểm tra tiacutenh khả
thi mức độ ảnh hưởng đến thuecirc bao vagrave baacuteo caacuteo lại Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty họp xem xeacutet quyết định phecirc chuẩn
16 Định nghĩa vagrave viết tắt
- Chứng thư số lagrave một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số cấp
- Chứng thư số nước ngoagravei lagrave chứng thư số do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số nước ngoagravei cấp
- ldquoChứng thư số coacute hiệu lựcrdquo lagrave chứng thư số chưa hết hạn khocircng bị tạm dừng hoặc
11
bị thu hồi
- Chữ kyacute số lagrave một dạng chữ kyacute điện tử được tạo ra bằng sự biến đổi một thocircng
điệp dữ liệu sử dụng hệ thống mật matilde khocircng đối xứng theo đoacute người coacute được thocircng điệp
dữ liệu ban đầu vagrave khoaacute cocircng khai của người kyacute coacute thể xaacutec định được chiacutenh xaacutec
+ Việc biến đổi necircu trecircn được tạo ra bằng đuacuteng khoaacute biacute mật tương ứng với khoaacute
cocircng khai trong cugraveng một cặp khoacutea
+ Sự toagraven vẹn nội dung của thocircng điệp dữ liệu kể từ khi thực hiện việc biến đổi necircu
trecircn
- ldquoDịch vụ chứng thực chữ kyacute sốrdquo lagrave một loại higravenh dịch vụ chứng thực chữ kyacute điện
tử do tổ chức cung cấp dịch vụ chứng thực chữ kyacute số cấp Dịch vụ chứng thực chữ kyacute
số bao gồm
+ Cấp gia hạn tạm dừng phục hồi vagrave thu hồi chứng thư số của thuecirc bao
+ Duy trigrave trực tuyến cơ sở dữ liệu về chứng thư số
+ Những dịch vụ khaacutec coacute liecircn quan theo quy định
- ldquoHệ thống mật matilde khocircng đối xứngrdquo lagrave hệ thống mật matilde coacute khả năng tạo được cặp
khoacutea bao gồm khoaacute biacute mật vagrave khoaacute cocircng khai
- ldquoKhoaacuterdquo lagrave một chuỗi caacutec số nhị phacircn (0 vagrave 1) dugraveng trong caacutec hệ thống mật matilde
- ldquoKhoacutea biacute mậtrdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối xứng
được dugraveng để tạo chữ kyacute số
- ldquoKhoacutea cocircng khairdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối
xứng được sử dụng để kiểm tra chữ kyacute số được tạo bởi khoaacute biacute mật tương ứng trong cặp
khoaacute
- ldquoKyacute sốrdquo lagrave việc đưa khoacutea biacute mật vagraveo một chương trigravenh phần mềm để tự động tạo
vagrave gắn chữ kyacute số vagraveo thocircng điệp dữ liệu
- ldquoNgười kyacuterdquo lagrave thuecirc bao dugraveng đuacuteng khoaacute biacute mật của migravenh để kyacute số vagraveo một thocircng
điệp dữ liệu dưới tecircn của migravenh
- ldquoNgười nhậnrdquo lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng điệp dữ
liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
- ldquoThuecirc baordquo lagrave tổ chức caacute nhacircn được cấp chứng thư số chấp nhận chứng thư số
vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi trecircn chứng thư số được cấp đoacute
- ldquoTạm dừng chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech tạm thời
từ một thời điểm xaacutec định
- ldquoThu hồi chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech vĩnh viễn
từ một thời điểm xaacutec định
12
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ
21 Kho lưu trữ
Caacutec thocircng tin về thuecirc bao vagrave chứng thư số được lưu trữ tập trung bảo mật an
toagraven hạn chế tiếp xuacutec với mocirci trường mạng Internet
Caacutec thocircng tin được lưu trữ trực tuyến lagrave caacutec thocircng tin về chiacutenh saacutech Quy chế
chứng thực chữ kyacute số CRL vagrave caacutec thocircng tin tối thiểu về chứng thư số được aacutenh xạ từ
cơ sở dữ liệu gốc necircu trecircn
22 Cocircng bố thocircng tin về chứng thư số
Cơ sở dữ liệu thocircng tin về chứng thư số của Cocircng ty cổ phần Chứng số An
Toagraven được đảm bảo duy trigrave thường xuyecircn liecircn tục cung cấp cho thuecirc bao vagrave người
nhận khả năng kiểm tra trạng thaacutei chứng thư số cũng như thocircng tin về chiacutenh saacutech
Quy chế chứng thực của Cocircng ty
Caacutec thocircng tin bao gồm
- Thocircng tin về danh saacutech chứng thư số đatilde được cấp
- Thocircng tin về danh saacutech chứng thư số đatilde bị tạm dừng thu hồi
- Thocircng tin về chiacutenh saacutech Quy chế chứng thực chữ kyacute số Địa chỉ cocircng bố
- Caacutec thocircng tin khaacutec coacute liecircn quan (mẫu hợp đồng chiacutenh saacutech hellip)
Caacutec thocircng tin trecircn sẽ được cocircng bố tại website của Cocircng ty cổ phần Chứng số
An Toagraven coacute địa chỉ wwwSAFECertcomvn
23 Thocircng tin về tần suất cocircng bố
- Đối với caacutec thocircng tin về chứng thư số được cập nhật thường xuyecircn liecircn tục
vagrave cho pheacutep truy cập 247
- Đối với caacutec thocircng tin về Quy chế chứng thực chữ kyacute số chiacutenh saacutech được cập
nhật khi coacute sự thay đổi
24 Kiểm soaacutet truy cập vagraveo kho lưu trữ
- Caacutec thocircng tin về chứng thư số được cocircng bố cocircng khai trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven chỉ cho pheacutep người sử dụng được quyền xem
download vagrave khocircng được pheacutep chỉnh sửa bổ sung
- Caacutec thocircng tin về chiacutenh saacutech quy chế chứng thực chữ kyacute số được cập nhật vagrave
cocircng bố cocircng khai khi coacute thay đổi Chỉ coacute Cocircng ty cổ phần Chứng số An Toagraven mới
coacute quyền thay đổi bổ sung cập nhật
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 9: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/9.jpg)
9
- Xaacutec thực thocircng tin thuecirc bao nhằm đảm bảo tiacutenh chiacutenh xaacutec của caacutec yecircu cầu vagrave
thocircng tin về nhacircn thacircn của thuecirc bao
c) Thuecirc bao dịch vụ chứng thực chữ kyacute số (gọi tắt lagrave thuecirc bao) lagrave caacutec tổ chứccaacute nhacircn
coacute đủ điều kiện theo quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute
số vagrave quy định tại Quy chế chứng thực chữ kyacute số nagravey đồng yacute sử dụng vagrave được Cocircng
ty cổ phần Chứng số An Toagraven SAFE-CA cấp chứng thư số
d) Người nhận Lagrave caacutec tổ chứccaacute nhacircn sử dụng dịch vụ xaacutec thực thocircng tin thuecirc bao
dịch vụ chứng thực chữ kyacute số thocircng qua hệ thống cung cấp dịch vụ chữ kyacute số của
Cocircng ty cổ phần Chứng số An Toagraven
14 Phương thức sử dụng chứng thư số
SAFE-CA cung cấp caacutec loại chứng thư số sau
Chứng thư số caacute nhacircn cho người dugraveng caacute nhacircn hoặc tổ chức doanh
nghiệp
Chứng thư số SSL
Chứng thư số Code Signing
- Caacutec chứng thư được cung cấp với caacutec độ dagravei khoacutea 512 bit 1024 bit 2048
bit 4096 bit Thời gian hiệu lực chứng thư số khoảng từ 6 thaacuteng đến 3 năm tugravey thuộc
vagraveo độ dagravei cặp khoacutea
- Mọi chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp được sử dụng
theo caacutec quy định của phaacutep luật Việt Nam về dịch vụ chứng thực chữ kyacute số cocircng
cộng
- Thuecirc bao phảỉ sử dụng chứng thư số đatilde được Cocircng ty cổ phần Chứng số An
Toagraven cấp đuacuteng mục điacutech đuacuteng quy định của phaacutep luật vagrave phải chịu mọi traacutech nhiệm
traacutech nhiệm khi sử dụng chứng thư số trong caacutec trường hợp đogravei hỏi mức độ an toagraven
tuyệt đối coacute ảnh hưởng trực tiếp đến mocirci trường tự nhiecircn sinh mạng con người
10
15 Tổ chức quản lyacute chiacutenh saacutech
151 Tổ chức quản trị tagravei liệu
Cocircng ty cổ phần Chứng số An Toagraven lagrave đơn vị tổ chức ban hagravenh quản lyacute toagraven
bộ Quy chế chứng thực chữ kyacute số nagravey
152 Liecircn hệ
Cocircng ty Cổ phần Chứng Số An Toagraven (SAFE-CA)
Địa chỉ X-0477 Togravea nhagrave North Towers Sunrise City 27 Nguyễn Hữu Thọ
Phường Tacircn Hưng Quận 7 TPHCM
Điện thoại 08 66823732
Email infoSAFECertcomvn
153 Tổ chức phecirc chuẩn quy chế chứng thực
- Cocircng ty cổ phần Chứng số An Toagraven thagravenh lập hội đồng đaacutenh giaacute phecirc chuẩn
nhằm mục điacutech xem xeacutet vagrave phecirc chuẩn Quy chế chứng thực chữ kyacute số nagravey
154 Thủ tục phecirc chuẩn quy chế chứng thực
Trong từng thời kỳ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng ban hagravenh
vagrave Hội đồng phecirc chuẩn sẽ phecirc chuẩn Quy chế chứng thực chữ kyacute số do bộ phận phaacutep
lyacute của Cocircng ty trigravenh lecircn Mọi thay đổi trong Quy chế chứng thực chữ kyacute số nagravey đều
phải đảm bảo tuacircn thủ đuacuteng quy định của phaacutep luật Việt Nam về dịch vụ chứng thực
chữ kyacute số cocircng cộng phugrave hợp với tiecircu chuẩn RFC 3647 vagrave đảm bảo khocircng ảnh hưởng
đến quyền lợi của thuecirc bao
Quy trigravenh thủ tục phecirc chuẩn như sau
- Bộ phận phaacutep lyacute của Cocircng ty chịu traacutech nhiệm xacircy dựng toacutem tắt tổng hợp
so saacutenh caacutec nội dung sửa đổi (nếu coacute) vagrave trigravenh lecircn Ban Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty giao bộ phận dịch vụ nghiecircn cứu kiểm tra tiacutenh khả
thi mức độ ảnh hưởng đến thuecirc bao vagrave baacuteo caacuteo lại Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty họp xem xeacutet quyết định phecirc chuẩn
16 Định nghĩa vagrave viết tắt
- Chứng thư số lagrave một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số cấp
- Chứng thư số nước ngoagravei lagrave chứng thư số do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số nước ngoagravei cấp
- ldquoChứng thư số coacute hiệu lựcrdquo lagrave chứng thư số chưa hết hạn khocircng bị tạm dừng hoặc
11
bị thu hồi
- Chữ kyacute số lagrave một dạng chữ kyacute điện tử được tạo ra bằng sự biến đổi một thocircng
điệp dữ liệu sử dụng hệ thống mật matilde khocircng đối xứng theo đoacute người coacute được thocircng điệp
dữ liệu ban đầu vagrave khoaacute cocircng khai của người kyacute coacute thể xaacutec định được chiacutenh xaacutec
+ Việc biến đổi necircu trecircn được tạo ra bằng đuacuteng khoaacute biacute mật tương ứng với khoaacute
cocircng khai trong cugraveng một cặp khoacutea
+ Sự toagraven vẹn nội dung của thocircng điệp dữ liệu kể từ khi thực hiện việc biến đổi necircu
trecircn
- ldquoDịch vụ chứng thực chữ kyacute sốrdquo lagrave một loại higravenh dịch vụ chứng thực chữ kyacute điện
tử do tổ chức cung cấp dịch vụ chứng thực chữ kyacute số cấp Dịch vụ chứng thực chữ kyacute
số bao gồm
+ Cấp gia hạn tạm dừng phục hồi vagrave thu hồi chứng thư số của thuecirc bao
+ Duy trigrave trực tuyến cơ sở dữ liệu về chứng thư số
+ Những dịch vụ khaacutec coacute liecircn quan theo quy định
- ldquoHệ thống mật matilde khocircng đối xứngrdquo lagrave hệ thống mật matilde coacute khả năng tạo được cặp
khoacutea bao gồm khoaacute biacute mật vagrave khoaacute cocircng khai
- ldquoKhoaacuterdquo lagrave một chuỗi caacutec số nhị phacircn (0 vagrave 1) dugraveng trong caacutec hệ thống mật matilde
- ldquoKhoacutea biacute mậtrdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối xứng
được dugraveng để tạo chữ kyacute số
- ldquoKhoacutea cocircng khairdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối
xứng được sử dụng để kiểm tra chữ kyacute số được tạo bởi khoaacute biacute mật tương ứng trong cặp
khoaacute
- ldquoKyacute sốrdquo lagrave việc đưa khoacutea biacute mật vagraveo một chương trigravenh phần mềm để tự động tạo
vagrave gắn chữ kyacute số vagraveo thocircng điệp dữ liệu
- ldquoNgười kyacuterdquo lagrave thuecirc bao dugraveng đuacuteng khoaacute biacute mật của migravenh để kyacute số vagraveo một thocircng
điệp dữ liệu dưới tecircn của migravenh
- ldquoNgười nhậnrdquo lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng điệp dữ
liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
- ldquoThuecirc baordquo lagrave tổ chức caacute nhacircn được cấp chứng thư số chấp nhận chứng thư số
vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi trecircn chứng thư số được cấp đoacute
- ldquoTạm dừng chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech tạm thời
từ một thời điểm xaacutec định
- ldquoThu hồi chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech vĩnh viễn
từ một thời điểm xaacutec định
12
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ
21 Kho lưu trữ
Caacutec thocircng tin về thuecirc bao vagrave chứng thư số được lưu trữ tập trung bảo mật an
toagraven hạn chế tiếp xuacutec với mocirci trường mạng Internet
Caacutec thocircng tin được lưu trữ trực tuyến lagrave caacutec thocircng tin về chiacutenh saacutech Quy chế
chứng thực chữ kyacute số CRL vagrave caacutec thocircng tin tối thiểu về chứng thư số được aacutenh xạ từ
cơ sở dữ liệu gốc necircu trecircn
22 Cocircng bố thocircng tin về chứng thư số
Cơ sở dữ liệu thocircng tin về chứng thư số của Cocircng ty cổ phần Chứng số An
Toagraven được đảm bảo duy trigrave thường xuyecircn liecircn tục cung cấp cho thuecirc bao vagrave người
nhận khả năng kiểm tra trạng thaacutei chứng thư số cũng như thocircng tin về chiacutenh saacutech
Quy chế chứng thực của Cocircng ty
Caacutec thocircng tin bao gồm
- Thocircng tin về danh saacutech chứng thư số đatilde được cấp
- Thocircng tin về danh saacutech chứng thư số đatilde bị tạm dừng thu hồi
- Thocircng tin về chiacutenh saacutech Quy chế chứng thực chữ kyacute số Địa chỉ cocircng bố
- Caacutec thocircng tin khaacutec coacute liecircn quan (mẫu hợp đồng chiacutenh saacutech hellip)
Caacutec thocircng tin trecircn sẽ được cocircng bố tại website của Cocircng ty cổ phần Chứng số
An Toagraven coacute địa chỉ wwwSAFECertcomvn
23 Thocircng tin về tần suất cocircng bố
- Đối với caacutec thocircng tin về chứng thư số được cập nhật thường xuyecircn liecircn tục
vagrave cho pheacutep truy cập 247
- Đối với caacutec thocircng tin về Quy chế chứng thực chữ kyacute số chiacutenh saacutech được cập
nhật khi coacute sự thay đổi
24 Kiểm soaacutet truy cập vagraveo kho lưu trữ
- Caacutec thocircng tin về chứng thư số được cocircng bố cocircng khai trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven chỉ cho pheacutep người sử dụng được quyền xem
download vagrave khocircng được pheacutep chỉnh sửa bổ sung
- Caacutec thocircng tin về chiacutenh saacutech quy chế chứng thực chữ kyacute số được cập nhật vagrave
cocircng bố cocircng khai khi coacute thay đổi Chỉ coacute Cocircng ty cổ phần Chứng số An Toagraven mới
coacute quyền thay đổi bổ sung cập nhật
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 10: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/10.jpg)
10
15 Tổ chức quản lyacute chiacutenh saacutech
151 Tổ chức quản trị tagravei liệu
Cocircng ty cổ phần Chứng số An Toagraven lagrave đơn vị tổ chức ban hagravenh quản lyacute toagraven
bộ Quy chế chứng thực chữ kyacute số nagravey
152 Liecircn hệ
Cocircng ty Cổ phần Chứng Số An Toagraven (SAFE-CA)
Địa chỉ X-0477 Togravea nhagrave North Towers Sunrise City 27 Nguyễn Hữu Thọ
Phường Tacircn Hưng Quận 7 TPHCM
Điện thoại 08 66823732
Email infoSAFECertcomvn
153 Tổ chức phecirc chuẩn quy chế chứng thực
- Cocircng ty cổ phần Chứng số An Toagraven thagravenh lập hội đồng đaacutenh giaacute phecirc chuẩn
nhằm mục điacutech xem xeacutet vagrave phecirc chuẩn Quy chế chứng thực chữ kyacute số nagravey
154 Thủ tục phecirc chuẩn quy chế chứng thực
Trong từng thời kỳ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng ban hagravenh
vagrave Hội đồng phecirc chuẩn sẽ phecirc chuẩn Quy chế chứng thực chữ kyacute số do bộ phận phaacutep
lyacute của Cocircng ty trigravenh lecircn Mọi thay đổi trong Quy chế chứng thực chữ kyacute số nagravey đều
phải đảm bảo tuacircn thủ đuacuteng quy định của phaacutep luật Việt Nam về dịch vụ chứng thực
chữ kyacute số cocircng cộng phugrave hợp với tiecircu chuẩn RFC 3647 vagrave đảm bảo khocircng ảnh hưởng
đến quyền lợi của thuecirc bao
Quy trigravenh thủ tục phecirc chuẩn như sau
- Bộ phận phaacutep lyacute của Cocircng ty chịu traacutech nhiệm xacircy dựng toacutem tắt tổng hợp
so saacutenh caacutec nội dung sửa đổi (nếu coacute) vagrave trigravenh lecircn Ban Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty giao bộ phận dịch vụ nghiecircn cứu kiểm tra tiacutenh khả
thi mức độ ảnh hưởng đến thuecirc bao vagrave baacuteo caacuteo lại Latildenh đạo Cocircng ty
- Ban Latildenh đạo Cocircng ty họp xem xeacutet quyết định phecirc chuẩn
16 Định nghĩa vagrave viết tắt
- Chứng thư số lagrave một dạng chứng thư điện tử do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số cấp
- Chứng thư số nước ngoagravei lagrave chứng thư số do tổ chức cung cấp dịch vụ chứng
thực chữ kyacute số nước ngoagravei cấp
- ldquoChứng thư số coacute hiệu lựcrdquo lagrave chứng thư số chưa hết hạn khocircng bị tạm dừng hoặc
11
bị thu hồi
- Chữ kyacute số lagrave một dạng chữ kyacute điện tử được tạo ra bằng sự biến đổi một thocircng
điệp dữ liệu sử dụng hệ thống mật matilde khocircng đối xứng theo đoacute người coacute được thocircng điệp
dữ liệu ban đầu vagrave khoaacute cocircng khai của người kyacute coacute thể xaacutec định được chiacutenh xaacutec
+ Việc biến đổi necircu trecircn được tạo ra bằng đuacuteng khoaacute biacute mật tương ứng với khoaacute
cocircng khai trong cugraveng một cặp khoacutea
+ Sự toagraven vẹn nội dung của thocircng điệp dữ liệu kể từ khi thực hiện việc biến đổi necircu
trecircn
- ldquoDịch vụ chứng thực chữ kyacute sốrdquo lagrave một loại higravenh dịch vụ chứng thực chữ kyacute điện
tử do tổ chức cung cấp dịch vụ chứng thực chữ kyacute số cấp Dịch vụ chứng thực chữ kyacute
số bao gồm
+ Cấp gia hạn tạm dừng phục hồi vagrave thu hồi chứng thư số của thuecirc bao
+ Duy trigrave trực tuyến cơ sở dữ liệu về chứng thư số
+ Những dịch vụ khaacutec coacute liecircn quan theo quy định
- ldquoHệ thống mật matilde khocircng đối xứngrdquo lagrave hệ thống mật matilde coacute khả năng tạo được cặp
khoacutea bao gồm khoaacute biacute mật vagrave khoaacute cocircng khai
- ldquoKhoaacuterdquo lagrave một chuỗi caacutec số nhị phacircn (0 vagrave 1) dugraveng trong caacutec hệ thống mật matilde
- ldquoKhoacutea biacute mậtrdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối xứng
được dugraveng để tạo chữ kyacute số
- ldquoKhoacutea cocircng khairdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối
xứng được sử dụng để kiểm tra chữ kyacute số được tạo bởi khoaacute biacute mật tương ứng trong cặp
khoaacute
- ldquoKyacute sốrdquo lagrave việc đưa khoacutea biacute mật vagraveo một chương trigravenh phần mềm để tự động tạo
vagrave gắn chữ kyacute số vagraveo thocircng điệp dữ liệu
- ldquoNgười kyacuterdquo lagrave thuecirc bao dugraveng đuacuteng khoaacute biacute mật của migravenh để kyacute số vagraveo một thocircng
điệp dữ liệu dưới tecircn của migravenh
- ldquoNgười nhậnrdquo lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng điệp dữ
liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
- ldquoThuecirc baordquo lagrave tổ chức caacute nhacircn được cấp chứng thư số chấp nhận chứng thư số
vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi trecircn chứng thư số được cấp đoacute
- ldquoTạm dừng chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech tạm thời
từ một thời điểm xaacutec định
- ldquoThu hồi chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech vĩnh viễn
từ một thời điểm xaacutec định
12
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ
21 Kho lưu trữ
Caacutec thocircng tin về thuecirc bao vagrave chứng thư số được lưu trữ tập trung bảo mật an
toagraven hạn chế tiếp xuacutec với mocirci trường mạng Internet
Caacutec thocircng tin được lưu trữ trực tuyến lagrave caacutec thocircng tin về chiacutenh saacutech Quy chế
chứng thực chữ kyacute số CRL vagrave caacutec thocircng tin tối thiểu về chứng thư số được aacutenh xạ từ
cơ sở dữ liệu gốc necircu trecircn
22 Cocircng bố thocircng tin về chứng thư số
Cơ sở dữ liệu thocircng tin về chứng thư số của Cocircng ty cổ phần Chứng số An
Toagraven được đảm bảo duy trigrave thường xuyecircn liecircn tục cung cấp cho thuecirc bao vagrave người
nhận khả năng kiểm tra trạng thaacutei chứng thư số cũng như thocircng tin về chiacutenh saacutech
Quy chế chứng thực của Cocircng ty
Caacutec thocircng tin bao gồm
- Thocircng tin về danh saacutech chứng thư số đatilde được cấp
- Thocircng tin về danh saacutech chứng thư số đatilde bị tạm dừng thu hồi
- Thocircng tin về chiacutenh saacutech Quy chế chứng thực chữ kyacute số Địa chỉ cocircng bố
- Caacutec thocircng tin khaacutec coacute liecircn quan (mẫu hợp đồng chiacutenh saacutech hellip)
Caacutec thocircng tin trecircn sẽ được cocircng bố tại website của Cocircng ty cổ phần Chứng số
An Toagraven coacute địa chỉ wwwSAFECertcomvn
23 Thocircng tin về tần suất cocircng bố
- Đối với caacutec thocircng tin về chứng thư số được cập nhật thường xuyecircn liecircn tục
vagrave cho pheacutep truy cập 247
- Đối với caacutec thocircng tin về Quy chế chứng thực chữ kyacute số chiacutenh saacutech được cập
nhật khi coacute sự thay đổi
24 Kiểm soaacutet truy cập vagraveo kho lưu trữ
- Caacutec thocircng tin về chứng thư số được cocircng bố cocircng khai trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven chỉ cho pheacutep người sử dụng được quyền xem
download vagrave khocircng được pheacutep chỉnh sửa bổ sung
- Caacutec thocircng tin về chiacutenh saacutech quy chế chứng thực chữ kyacute số được cập nhật vagrave
cocircng bố cocircng khai khi coacute thay đổi Chỉ coacute Cocircng ty cổ phần Chứng số An Toagraven mới
coacute quyền thay đổi bổ sung cập nhật
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 11: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/11.jpg)
11
bị thu hồi
- Chữ kyacute số lagrave một dạng chữ kyacute điện tử được tạo ra bằng sự biến đổi một thocircng
điệp dữ liệu sử dụng hệ thống mật matilde khocircng đối xứng theo đoacute người coacute được thocircng điệp
dữ liệu ban đầu vagrave khoaacute cocircng khai của người kyacute coacute thể xaacutec định được chiacutenh xaacutec
+ Việc biến đổi necircu trecircn được tạo ra bằng đuacuteng khoaacute biacute mật tương ứng với khoaacute
cocircng khai trong cugraveng một cặp khoacutea
+ Sự toagraven vẹn nội dung của thocircng điệp dữ liệu kể từ khi thực hiện việc biến đổi necircu
trecircn
- ldquoDịch vụ chứng thực chữ kyacute sốrdquo lagrave một loại higravenh dịch vụ chứng thực chữ kyacute điện
tử do tổ chức cung cấp dịch vụ chứng thực chữ kyacute số cấp Dịch vụ chứng thực chữ kyacute
số bao gồm
+ Cấp gia hạn tạm dừng phục hồi vagrave thu hồi chứng thư số của thuecirc bao
+ Duy trigrave trực tuyến cơ sở dữ liệu về chứng thư số
+ Những dịch vụ khaacutec coacute liecircn quan theo quy định
- ldquoHệ thống mật matilde khocircng đối xứngrdquo lagrave hệ thống mật matilde coacute khả năng tạo được cặp
khoacutea bao gồm khoaacute biacute mật vagrave khoaacute cocircng khai
- ldquoKhoaacuterdquo lagrave một chuỗi caacutec số nhị phacircn (0 vagrave 1) dugraveng trong caacutec hệ thống mật matilde
- ldquoKhoacutea biacute mậtrdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối xứng
được dugraveng để tạo chữ kyacute số
- ldquoKhoacutea cocircng khairdquo lagrave một khoacutea trong cặp khoacutea thuộc hệ thống mật matilde khocircng đối
xứng được sử dụng để kiểm tra chữ kyacute số được tạo bởi khoaacute biacute mật tương ứng trong cặp
khoaacute
- ldquoKyacute sốrdquo lagrave việc đưa khoacutea biacute mật vagraveo một chương trigravenh phần mềm để tự động tạo
vagrave gắn chữ kyacute số vagraveo thocircng điệp dữ liệu
- ldquoNgười kyacuterdquo lagrave thuecirc bao dugraveng đuacuteng khoaacute biacute mật của migravenh để kyacute số vagraveo một thocircng
điệp dữ liệu dưới tecircn của migravenh
- ldquoNgười nhậnrdquo lagrave tổ chức caacute nhacircn nhận được thocircng điệp dữ liệu được kyacute số bởi
người kyacute sử dụng chứng thư số của người kyacute đoacute để kiểm tra chữ kyacute số trong thocircng điệp dữ
liệu nhận được vagrave tiến hagravenh caacutec hoạt động giao dịch coacute liecircn quan
- ldquoThuecirc baordquo lagrave tổ chức caacute nhacircn được cấp chứng thư số chấp nhận chứng thư số
vagrave giữ khoaacute biacute mật tương ứng với khoaacute cocircng khai ghi trecircn chứng thư số được cấp đoacute
- ldquoTạm dừng chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech tạm thời
từ một thời điểm xaacutec định
- ldquoThu hồi chứng thư sốrdquo lagrave lagravem mất hiệu lực của chứng thư số một caacutech vĩnh viễn
từ một thời điểm xaacutec định
12
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ
21 Kho lưu trữ
Caacutec thocircng tin về thuecirc bao vagrave chứng thư số được lưu trữ tập trung bảo mật an
toagraven hạn chế tiếp xuacutec với mocirci trường mạng Internet
Caacutec thocircng tin được lưu trữ trực tuyến lagrave caacutec thocircng tin về chiacutenh saacutech Quy chế
chứng thực chữ kyacute số CRL vagrave caacutec thocircng tin tối thiểu về chứng thư số được aacutenh xạ từ
cơ sở dữ liệu gốc necircu trecircn
22 Cocircng bố thocircng tin về chứng thư số
Cơ sở dữ liệu thocircng tin về chứng thư số của Cocircng ty cổ phần Chứng số An
Toagraven được đảm bảo duy trigrave thường xuyecircn liecircn tục cung cấp cho thuecirc bao vagrave người
nhận khả năng kiểm tra trạng thaacutei chứng thư số cũng như thocircng tin về chiacutenh saacutech
Quy chế chứng thực của Cocircng ty
Caacutec thocircng tin bao gồm
- Thocircng tin về danh saacutech chứng thư số đatilde được cấp
- Thocircng tin về danh saacutech chứng thư số đatilde bị tạm dừng thu hồi
- Thocircng tin về chiacutenh saacutech Quy chế chứng thực chữ kyacute số Địa chỉ cocircng bố
- Caacutec thocircng tin khaacutec coacute liecircn quan (mẫu hợp đồng chiacutenh saacutech hellip)
Caacutec thocircng tin trecircn sẽ được cocircng bố tại website của Cocircng ty cổ phần Chứng số
An Toagraven coacute địa chỉ wwwSAFECertcomvn
23 Thocircng tin về tần suất cocircng bố
- Đối với caacutec thocircng tin về chứng thư số được cập nhật thường xuyecircn liecircn tục
vagrave cho pheacutep truy cập 247
- Đối với caacutec thocircng tin về Quy chế chứng thực chữ kyacute số chiacutenh saacutech được cập
nhật khi coacute sự thay đổi
24 Kiểm soaacutet truy cập vagraveo kho lưu trữ
- Caacutec thocircng tin về chứng thư số được cocircng bố cocircng khai trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven chỉ cho pheacutep người sử dụng được quyền xem
download vagrave khocircng được pheacutep chỉnh sửa bổ sung
- Caacutec thocircng tin về chiacutenh saacutech quy chế chứng thực chữ kyacute số được cập nhật vagrave
cocircng bố cocircng khai khi coacute thay đổi Chỉ coacute Cocircng ty cổ phần Chứng số An Toagraven mới
coacute quyền thay đổi bổ sung cập nhật
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 12: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/12.jpg)
12
II TRAacuteCH NHIỆM VỀ COcircNG BỐ VAgrave LƯU TRỮ
21 Kho lưu trữ
Caacutec thocircng tin về thuecirc bao vagrave chứng thư số được lưu trữ tập trung bảo mật an
toagraven hạn chế tiếp xuacutec với mocirci trường mạng Internet
Caacutec thocircng tin được lưu trữ trực tuyến lagrave caacutec thocircng tin về chiacutenh saacutech Quy chế
chứng thực chữ kyacute số CRL vagrave caacutec thocircng tin tối thiểu về chứng thư số được aacutenh xạ từ
cơ sở dữ liệu gốc necircu trecircn
22 Cocircng bố thocircng tin về chứng thư số
Cơ sở dữ liệu thocircng tin về chứng thư số của Cocircng ty cổ phần Chứng số An
Toagraven được đảm bảo duy trigrave thường xuyecircn liecircn tục cung cấp cho thuecirc bao vagrave người
nhận khả năng kiểm tra trạng thaacutei chứng thư số cũng như thocircng tin về chiacutenh saacutech
Quy chế chứng thực của Cocircng ty
Caacutec thocircng tin bao gồm
- Thocircng tin về danh saacutech chứng thư số đatilde được cấp
- Thocircng tin về danh saacutech chứng thư số đatilde bị tạm dừng thu hồi
- Thocircng tin về chiacutenh saacutech Quy chế chứng thực chữ kyacute số Địa chỉ cocircng bố
- Caacutec thocircng tin khaacutec coacute liecircn quan (mẫu hợp đồng chiacutenh saacutech hellip)
Caacutec thocircng tin trecircn sẽ được cocircng bố tại website của Cocircng ty cổ phần Chứng số
An Toagraven coacute địa chỉ wwwSAFECertcomvn
23 Thocircng tin về tần suất cocircng bố
- Đối với caacutec thocircng tin về chứng thư số được cập nhật thường xuyecircn liecircn tục
vagrave cho pheacutep truy cập 247
- Đối với caacutec thocircng tin về Quy chế chứng thực chữ kyacute số chiacutenh saacutech được cập
nhật khi coacute sự thay đổi
24 Kiểm soaacutet truy cập vagraveo kho lưu trữ
- Caacutec thocircng tin về chứng thư số được cocircng bố cocircng khai trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven chỉ cho pheacutep người sử dụng được quyền xem
download vagrave khocircng được pheacutep chỉnh sửa bổ sung
- Caacutec thocircng tin về chiacutenh saacutech quy chế chứng thực chữ kyacute số được cập nhật vagrave
cocircng bố cocircng khai khi coacute thay đổi Chỉ coacute Cocircng ty cổ phần Chứng số An Toagraven mới
coacute quyền thay đổi bổ sung cập nhật
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 13: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/13.jpg)
13
III ĐỊNH DANH VAgrave XAacuteC THỰC
31 Đặt tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 14: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/14.jpg)
14
Subject Thocircng tin về người nhận chứng thư số
Đối với caacute nhacircn
Unique Identifier (UID) Số CMND
Unique Identifier (UID) Matilde số thuế caacute nhacircn
Common Name (CN) Tecircn người sử dụng
Locality (L) Địa chỉ của caacute nhacircn
Country (C) Quốc gia
Email (E) địa chỉ thư điện tử caacute nhacircn
Đối với tổ chức
Common Name (CN) Tecircn của tổ chức
Organization (O) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của tổ chức
Đối với caacute nhacircn thuộc tổ chức
Common Name (CN) Tecircn của caacute nhacircn
Organization (O) Tecircn của tổ chức
Organizational Unit (OU) Matilde số thuế của tổ chức
Locality (L) Địa chỉ của tổ chức
Country (C) Quốc gia
Email (E) Địa chỉ thư điện tử của caacute nhacircn
Unique Identifier (UID) Số CMND của caacute nhacircn
Title (title) Chức vụ của caacute nhacircn
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng khaiX509 trecircn mocirci trường Internet
() Quy tắc đặt tecircn
Tecircn trong chứng thư necircn được đặt theo ngữ nghĩa mang tiacutenh dễ hiểu đảm bảo
coacute thể nhận dạng được thuecirc bao của chứng thư số khi sử dụng
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 15: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/15.jpg)
15
Tecircn trong chứng thư số lagrave duy nhất tương ứng đối với một thuecirc bao Một thuecirc
bao coacute thể coacute nhiều chứng thư số với cugraveng một tecircn
Tổ chứccaacute nhacircn xin cấp chứng thư số phải chịu traacutech nhiệm về quyền sở hữu
triacute tuệbản quyền đối với tecircn trong chứng thư số cấp cho migravenh Trong trường hợp xảy
ra tranh chấp Cocircng ty cổ phần Chứng số An Toagraven sẽ tạm dừng chứng thư số vagrave việc
giải quyết tranh chấp tuacircn thủ theo caacutec quy định của phaacutep luật về sở hữu triacute tuệ vagrave
bản quyền
32 Kiểm tra định danh khởi đầu
321 Xaacutec thực nhận dạng thocircng tin của caacute nhacircn
Người sử dụng khi đăng kyacute cấp chứng thư số tại Cocircng ty cổ phần Chứng số An
Toagraven phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh cung
cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Hộ chiếu hoặc chứng minh thư nhacircn dacircn cograven hiệu lực iacutet nhất trong vograveng 06
thaacuteng
- Bản sao hộ khẩu hoặc đăng kyacute tạm truacute coacute cocircng chứng hợp phaacutep
Để đảm bảo tiacutenh bảo mật vagrave traacutenh caacutec trường hợp giả mạo Cocircng ty cổ phần
Chứng số An Toagraven khocircng chấp nhận caacutec trường hợp thuecirc bao caacute nhacircn nhờ người đại
diện đến lagravem thủ tục Thuecirc bao lagrave caacute nhacircn cần phải đến trực tiếp lagravem thủ tục tại Cocircng
ty
322 Kiểm tra nhận dạng của người đại diện lagravem thủ tục xin cấp vagrave nhận chứng thư
số
Đối với caacute nhacircn đại diện cho tổ chức đứng ra lagravem thủ tục xin cấp chứng thư số
cho tổ chức thigrave ngoagravei caacutec thocircng tin cần thiết aacutep dụng cho tổ chức xin cấp chứng số
người đại diện cần mang theo caacutec tagravei liệu sau
- Giấy uỷ quyền của tổ chức cho caacute nhacircn đoacute thực hiện việc lagravem thủ tục xin cấp
chứng thư số cograven hiệu lực
- Bản sao chứng minh thư nhacircn dacircn coacute cocircng chứng hợp phaacutep
323 Xaacutec thực danh tiacutenh đơn vị chi nhaacutenh hoặc thiết bị
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 16: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/16.jpg)
16
Tổ chức khi tiến hagravenh xin cấp chứng thư số do Cocircng ty cổ phần Chứng số An
Toagraven cấp phải chịu traacutech nhiệm về tiacutenh chiacutenh xaacutec của caacutec tagravei liệu thocircng tin do migravenh
cung cấp
Caacutec giấy tờ cần xuất trigravenh khi lagravem thủ tục xin cấp chứng thư số bao gồm
- Đơn xin cấp chứng thư số (theo mẫu đơn do Cocircng ty cổ phần Chứng số An
Toagraven ban hagravenh trong đoacute coacute necircu rotilde mục điacutech sử dụng chứng thư số cam kết về việc
sử dụng chứng thư số vagrave việc tuacircn thủ phaacutep luật về dịch vụ chữ kyacute số hellip)
- Bản sao giấy chứng nhận đăng kyacute kinh doanh hoặc Giấy chứng nhận đầu tư
coacute cocircng chứng hợp phaacutep
- Trường hợp tổ chức uỷ quyền cho một caacute nhacircn đại diện thigrave caacute nhacircn đoacute phải
xuất trigravenh thecircm giấy uỷ quyền của tổ chức về việc xin cấp quản lyacute vagrave sử dụng chứng
thư số đồng thời cam kết chịu mọi traacutech nhiệm về việc quản lyacute sử dụng chứng thư
số của tổ chức
- Bản sao giấy chứng minh nhacircn dacircn coacute cocircng chứng hợp phaacutep của caacute nhacircn đại
diện (nếu coacute)
Đối với việc xin cấp chứng thư số cho thiết bị tổ chức cần cung cấp thecircm caacutec
tagravei liệu sau
- Giấy chứng nhận quyền sử dụng tecircn miền
- Thocircng tin về website sử dụng
324 Phương phaacutep kiểm tra việc người xin cấp chứng thư số coacute khoacutea biacute mật
Trong thời điểm hiện tại để đảm bảo an toagraven biacute mật Cocircng ty cổ phần Chứng
số An Toagraven khocircng lưu trữ khoacutea biacute mật của thuecirc bao vagrave cho pheacutep thuecirc bao tự tạo khoacutea
biacute mật trecircn thiết bị USB token
33 Định danh vagrave xaacutec thực khi yecircu cầu tạo khoacutea lại
331 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới thocircng thường
Trước khi chứng thư số hết hạn hoặc thuecirc bao coacute nhu cầu cấp lại khoacutea mới
để tiếp tục sử dụng dịch vụ thuecirc bao cần lagravem caacutec thủ tục như việc gia hạn chứng thư
số Quy trigravenh tạo lại khoacutea vagrave phacircn phối khoacutea tiến hagravenh như trường hợp cấp mới chứng
thư số thocircng thường
332 Nhận dạng vagrave xaacutec thực yecircu cầu lagravem mới sau khi thu hồi
Đối với caacutec thuecirc bao sau khi bị thu hồi chứng thư số nếu muốn xin cấp mới
chứng thư số khaacutec để sử dụng thigrave ngoagravei caacutec nội dung tại liệu phải cung cấp theo quy
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 17: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/17.jpg)
17
định đối với trường hợp cấp chứng thư số mới thuecirc bao phải cung cấp thecircm caacutec thocircng
tin như sau
- Lyacute do bị thu hồi chứng thư số
- Cam kết thực hiện caacutec yecircu cầu về giải quyết caacutec lyacute do bị thu hồi
Caacutec trường hợp sau sẽ khocircng được cấp lại chứng thư số sau khi đatilde bị thu hồi
- Thuecirc bao sử dụng chứng thư số đatilde được cấp vagraveo caacutec mục điacutech traacutei phaacutep luật
- Thuecirc bao sử dụng caacutec thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao sử dụng chứng thư số gacircy ảnh hưởng lớn đến hệ thống thiết bị vagrave
dịch vụ của Cocircng ty cổ phần Chứng số An Toagraven
333 Định danh vagrave xaacutec thực khi yecircu cầu thu hồi chứng thư số
Trước khi thu hồi chứng thư số của một thuecirc bao Cocircng ty cổ phần Chứng số
An Toagraven sẽ tiến hagravenh kiểm tra vagrave xaacutec thực yecircu cầu thu hồi chứng thư số của thuecirc bao
đoacute Quy trigravenh xaacutec thực như sau
Trường hợp yecircu cầu thu hồi từ Thuecirc bao
- Tiếp nhận vagrave xaacutec thực yecircu cầu thu hồi chứng thư số từ thuecirc bao thocircng qua
việc gọi điện thoại fax gửi email hoặc gặp trực tiếp (nếu coacute thể)
- Thocircng baacuteo cho thuecirc bao về lyacute do thu hồi chứng thư số Trường hợp quyết
định thu hồi chứng thư số xuất phaacutet từ cơ quan quản lyacute nhagrave nước hoặc bản thacircn Cocircng
ty cổ phần Chứng số An Toagraven thigrave trong thocircng baacuteo phải necircu chi tiết lyacute do vagrave điacutenh kegravem
văn bản yecircu cầu của cơ quan nhagrave nước (nếu coacute)
- Kiểm tra xaacutec nhận của khaacutech hagraveng đatilde nhận đựơc thocircng baacuteo vagrave sau đoacute tiến
hagravenh thu hồi chứng thư số
Trường hợp thu hồi do phaacutet hiện lỗi hoặc lộ khoacutea
- RA sẽ gởi thocircng tin yecircu cầu thu hồi chứng thư số cho CA CA phải thực hiện
thu hồi chứng thư số ngay lập tức
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 18: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/18.jpg)
18
IV YEcircU CẦU VẬN HAgraveNH VỀ VOgraveNG ĐỜI CHỨNG THƯ SỐ
41 Đăng kyacute chứng thư số
411 Caacutec đối tượng coacute thể xin cấp chứng thư số
Caacutec tổ chứccaacute nhacircn đaacutep ứng đủ caacutec điều kiện sau đacircy đều coacute thể xin cấp chứng
thư số của Cocircng ty cổ phần Chứng số An Toagraven
- Lagrave cocircng dacircn đủ 18 tuổi trở lecircn Trường hợp cocircng dacircn dưới 18 tuổi phải coacute
người trecircn 18 tuổi đứng ra bảo latildenh vagrave chịu traacutech nhiệm về mọi hoạt động sử dụng
chứng thư số của người đoacute
- Khocircng trong thời gian chấp hagravenh phạt tugrave hoặc bị quản chế theo quy định của
phaacutep luật
- Đaacutep ứng đủ caacutec điều kiện về quản lyacute vagrave sử dụng chứng thư số theo quy định
của phaacutep luật hiện hagravenh
- Đối với trường hợp tổ chức xin cấp chứng thư số sử dụng cho caacutec thiết bị thigrave
caacutec thiết bị nagravey đatilde phải được đầu tư vagrave triển khai trecircn thực tế
412 Đối tượng thuộc diện được cấp chứng thư số
Caacutec tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng thư
số khi đaacutep ứng được caacutec điều kiện tại điểm 411 necircu trecircn vagrave sau khi đatilde được Cocircng
ty cổ phần Chứng số An Toagraven xaacutec thực đầy đủ caacutec thocircng tin sau
- Chứng minh thư nhacircn dacircn cograven hạn sử dụng iacutet nhất trong vograveng 6 thaacuteng
- Caacutec thocircng tin trecircn tagravei liệu do tổ chứccaacute nhacircn đatilde cung cấp lagrave của chiacutenh tổ
chứccaacute nhacircn đoacute
413 Hồ sơ xin cấp chứng thư bao gồm
Hồ sơ xin cấp chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven bao gồm
- Đơn xin cấp chứng thư số (tổ chứccaacute nhacircn điền thocircng tin theo mẫu do Cocircng
ty cổ phần Chứng số An Toagraven ban hagravenh)
- Bản sao hợp phaacutep giấy chứng minh nhacircn dacircn hoặc hộ chiếu đối với thuecirc bao
lagrave caacute nhacircn hoặc người đại diện cho tổ chức
- Bản sao hợp phaacutep Giấy chứng nhận đăng kyacute kinh doanh Giấy chứng nhận
đầu tư đối với thuecirc bao lagrave tổ chức
- Bản sao hợp phaacutep Điều lệ tổ chức của tổ chức xin cấp chứng thư số
- Giấy uỷ quyền của tổ chức cho caacute nhacircn xin cấp chứng thư số (đối với trường
hợp thuecirc bao lagrave người đại diện cho tổ chức)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 19: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/19.jpg)
19
414 Đăng kyacute cấp chứng thư số vagrave traacutech nhiệm của caacutec becircn
Tổ chứccaacute nhacircn muốn xin cấp chứng thư số mới phải hoagraven thagravenh đầy đủ hồ
sơ quy định tại điểm 413 necircu trecircn vagrave gửi về SAFE-CA RA
Sau khi nhận được hồ sơ yecircu cầu của khaacutech hagraveng bộ phận SAFE-CA RA coacute
traacutech nhiệm xaacutec thực caacutec thocircng tin của khaacutech hagraveng Trường hợp thocircng tin của khaacutech
hagraveng lagrave chiacutenh xaacutec sẽ gửi yecircu cầu cấp chứng thư số về bộ phận SAFE-CA
Bộ phận SAFE-CA coacute traacutech nhiệm khởi tạo chuyển khoacutea về RA theo đường
an toagraven để gửi lại cho thuecirc bao quản lyacute duy trigrave cocircng bố chứng thư số của thuecirc bao
42 Xử lyacute hồ sơ đăng kyacute chứng thư số
421 Nhận dạng vagrave xaacutec thực
Sau khi nhận được yecircu cầu xin cấp chứng thư số của tổ chứccaacute nhacircn thigrave bộ
phận SAFE-CA RA sẽ tiến hagravenh việc nhận dạng vagrave xaacutec thực thocircng tin về tổ chứccaacute
nhacircn đoacute theo quy trigravenh tại điểm 32 necircu trecircn trong thời gian tối đa 3 ngagravey lagravem việc
422 Duyệt đăng kyacute cấp chứng thư số
Hồ sơ xin cấp chứng thư số của tổ chứccaacute nhacircn sẽ được bộ phận SAFE-CA
RA phecirc duyệt vagrave đăng kyacute cấp chứng thư số với bộ phận SAFE-CA sau khi
- Đatilde hoagraven thagravenh việc nhận dạng vagrave xaacutec thực về tổ chứccaacute nhacircn đoacute lagrave chiacutenh
xaacutec
- Tiến hagravenh caacutec thủ tục vagrave thu lệ phiacute xin cấp chứng thư số của tổ chứccaacute nhacircn
xin cấp chứng thư số
Hồ sơ của tổ chứccaacute nhacircn xin cấp chứng thư số thuộc caacutec trường hợp sau sẽ
khocircng được phecirc chuẩn
- Khocircng cung cấp đầy đủ thocircng tin để bộ phận SAFE-CA RA coacute thể nhận dạng
vagrave xaacutec thực được tổ chứccaacute nhacircn đoacute theo thời gian quy định tại điểm 421
- Khocircng hoagraven thagravenh việc nộp lệ phiacute xin cấp chứng thư số
- Khocircng đaacutep ứng được caacutec điều kiện để trở thagravenh đối tượng được cấp chứng
thư số tại điểm 421
423 Thời gian xử lyacute đăng kyacute cấp chứng thư số
- Bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận hồ sơ khaacutech hagraveng vagrave tiến
hagravenh nhận dạng xaacutec thực thocircng tin của khaacutech hagraveng gửi yecircu cầu đến bộ phận SAFE-
CA (nếu phecirc duyệt) trong thời gian tối đa 3 ngagravey lagravem việc
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 20: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/20.jpg)
20
- Bộ phận SAFE-CA coacute traacutech nhiệm tạo khoacutea vagrave phacircn phối lại cho bộ phận
SAFE-CA RA để chuyển cho thuecirc bao trong thời gian tối đa 2 ngagravey lagravem việc
43 Cấp chứng thư số
431 Thuecirc bao tạo yecircu cầu cấp chứng thư số
Bộ phận SAFE-CA RA sẽ tiếp nhận thocircng tin yecircu cầu của Thuecirc bao thocircng qua
2 caacutech
- Hồ sơ giấy Tổ chứccaacute nhacircn khi coacute yecircu cầu cấp chứng thư số tiến hagravenh caacutec
thủ tục necircu tại mục 41 necircu trecircn vagrave gửi đến bộ phận SAFE-CA RA
- Tiếp nhận thocircng tin yecircu cầu của Thuecirc bao trực tuyến trecircn website của Cocircng
ty cổ phần Chứng số An Toagraven wwwSAFECertcomvn Nhằm traacutenh trường
hợp nhập sai số liệu của Thuecirc bao
432 CA tạo chứng thư số
Sau khi bộ phận SAFE-CA RA tiến hagravenh xaacutec thực caacutec thocircng tin của khaacutech
hagraveng sẽ gửi thocircng baacuteo đến bộ phận SAFE-CA Bộ phận SAFE-CA sẽ khởi tạo cặp
khoacutea phacircn phối vagrave lưu trữ chứng thư số đồng thời gửi thocircng baacuteo về bộ phận SAFE-
CA RA
Quaacute trigravenh xaacutec thực thocircng tin khaacutech hagraveng vagrave thocircng tin tạo chứng thư số sẽ dựa
trecircn cơ sở dữ liệu becircn Thuế Bảo Hiểm Xatilde hội Giuacutep cho quaacute trigravenh xaacutec minh vagrave cấp
chứng thư nhanh choacuteng
433 Thocircng baacuteo cho thuecirc bao khi đatilde tạo xong chứng thư số
Bộ phận SAFE-CA RA coacute traacutech nhiệm chuyển khoacutea cocircng khai hoặc thiết bị
chứng thư số cho thuecirc bao một caacutech an toagraven
44 Chấp nhận chứng thư số
441Caacutech thức thể hiện sự chấp nhận một chứng thư số của thuecirc bao
Sau khi nhận đựơc thocircng baacuteo từ bộ phận SAFE-CA RA thuecirc bao coacute thể khẳng
định sự chấp nhận chứng thư số của migravenh bằng caacutech tiếp nhận thiết bị lưu trữ khoacutea
biacute mật hoặc xaacutec nhận bằng điện thoại thư điện tử fax helliptrong thời gian 3 ngagravey kể
từ ngagravey nhận được khoacutea
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 21: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/21.jpg)
21
442 Cocircng bố chứng thư số
Sau khi nhận được thocircng baacuteo chấp nhận chứng thư số của thuecirc bao bộ phận
SAFE-CA tiến hagravenh lưu trữ vagrave cocircng bố cocircng khai chứng thư số của thuecirc bao trecircn cơ
sở dữ liệu cocircng khai
443 Thocircng baacuteo sự ban hagravenh chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ thocircng baacuteo sự ban hagravenh chứng thư số về
việc chứng thư số của thuecirc bao đatilde được khởi tạo đồng thời cung cấp cho thuecirc bao
caacutech thức kiểm tra tigravenh trạng sẵn sagraveng của chứng thư số của thuecirc bao
45 Sử dụng chứng thư số vagrave cặp khoacutea
451 Sử dụng khoacutea biacute mật vagrave chứng thư số
Sau khi tổ chứccaacute nhacircn được Cocircng ty cổ phần Chứng số An Toagraven cấp chứng
thư số thigrave coacute thể sử dụng khoacutea biacute mật cũng như chứng thư số của migravenh một caacutech hợp
phaacutep theo caacutec quy định của phaacutep luật của Quy chế chứng thực chữ kyacute số vagrave nội dung
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm quản lyacute sử dụng khoacutea biacute mật một caacutech an toagraven trong
suốt thời gian coacute hiệu lực của chứng thư số
Thuecirc bao coacute traacutech nhiệm sử dụng chứng thư số đuacuteng mục điacutech vagrave được quy trịnh
trong trường Key Usage của chứng thư số
452 Sử dụng khoacutea cocircng khai vagrave chứng thư số
Tuỳ theo mức độ cam kết giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc
bao việc người nhận sử dụng khoaacute cocircng khai vagrave chứng thư sẽ được Cocircng ty cổ phần
Chứng số An Toagraven đảm bảo độ tin cậy trong caacutec trường hợp sau
- Chứng thư số phải được sử dụng đuacuteng theo caacutec quy định của phaacutep luật vagraveo
caacutec mục điacutech phugrave hợp khocircng bị giới hạn bởi Quy chế chứng thực chữ kyacute số vagrave hợp
đồng giữa thuecirc bao với Cocircng ty cổ phần Chứng số An Toagraven
- Chứng thư số được sử dụng đuacuteng phương phaacutep (theo đuacuteng trường KeyUsage
của chứng thư số)
- Chứng thư số được sử dụng phải lagrave chứng thư số cograven hịecircu lực khocircng nằm
trong danh saacutech chứng thư số bị tạm dừng hay bị thu hồi
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 22: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/22.jpg)
22
46 Gia hạn chứng thư số
461 Caacutec tigravenh huống gia hạn chứng thư số
Trước ngagravey hết hạn iacutet nhất 30 ngagravey Cocircng ty cổ phần Chứng số An Toagraven sẽ
thocircng baacuteo gia hạn Nếu thuecirc bao vẫn muốn tiếp tục sử dụng thigrave coacute thể đề nghị Cocircng
ty cổ phần Chứng số An Toagraven tiến hagravenh gia hạn chứng thư số
Sau ngagravey hết hạn Cocircng ty cổ phần Chứng số An Toagraven sẽ khocircng chấp nhận caacutec
yecircu cầu gia hạn từ Thuecirc bao
462 Đối tượng coacute thể yecircu cầu gia hạn chứng thư số
Caacutec thagravenh phần sau đacircy coacute thể yecircu cầu gia hạn chứng thư số bao gồm
- Đối với thuecirc bao lagrave caacute nhacircn Chiacutenh caacute nhacircn đoacute mới coacute quyền đề nghị gia hạn
chứng thư số
- Đối với thuecirc bao lagrave tổ chức Chỉ coacute người đại diện cho tổ chức đatilde được uỷ
quyền đứng tecircn trecircn chứng thư số mới coacute quyền gia hạn cho chứng thư số đoacute
463 Xử lyacute yecircu cầu gia hạn chứng thư số
Sau khi thuecirc bao điền đầy đủ caacutec thocircng tin yecircu cầu gia hạn chứng thư số theo
mẫu do Cocircng ty cổ phần Chứng số An Toagraven ban hagravenh vagrave gửi đến bộ phận SAFE-CA
RA thigrave bộ phận SAFE-CA RA coacute traacutech nhiệm tiếp nhận xaacutec thực thocircng tin của thuecirc
bao
Trường hợp xaacutec thực thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec thigrave bộ phận
SAFE-CA RA chuyển yecircu cầu nagravey về bộ phận SAFE-CA để tiến hagravenh gia hạn cho
thuecirc bao Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave khocircng chiacutenh xaacutec bộ phận
SAFE-CA RA coacute traacutech nhiệm thocircng baacuteo cho khaacutech hagraveng biết rotilde lyacute do từ chối gia hạn
chứng thư số
464 Thocircng baacuteo sự tạo chứng thư số mới cho thuecirc bao
Sau khi khởi tạo chứng thư số mới cho thuecirc bao bộ phận SAFE-CA coacute traacutech
nhiệm gửi thocircng baacuteo về bộ phận SAFE-CA RA để thocircng baacuteo vagrave phacircn phối chứng thư
số mới cho thuecirc bao
465 Chấp nhận chứng thư số mới được gia hạn
Sau khi nhận được thocircng baacuteo về việc gia hạn chứng thư số trường hợp khocircng
chấp nhận chứng thư số mới thuecirc bao coacute traacutech nhiệm phản hồi về Cocircng ty cổ phần
Chứng số An Toagraven trong thời hạn tối đa 03 ngagravey lagravem việc Nếu quaacute thời hạn trecircn magrave
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 23: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/23.jpg)
23
thuecirc bao khocircng coacute phản hồi đồng nghĩa với việc thuecirc bao đatilde chấp nhận chứng thư
mới được gia hạn
466 Cocircng bố chứng thư số mới được gia hạn
Sau khi thuecirc bao chấp nhận chứng thư số mới được gia hạn bộ phận SAFE-
CA coacute traacutech nhiệm cocircng bố chứng thư mới được gia hạn của thuecirc bao trecircn cơ sở dữ
liệu cocircng bố cocircng khai trong thời hạn tối đa 01 ngagravey lagravem việc
467 Thocircng baacuteo tạo chứng thư số mới được gia hạn cho caacutec đối tượng khaacutec
Bộ phận SAFE-CA coacute traacutech nhiệm thocircng baacuteo ngay cho bộ phận SAFE-CA RA
về việc tạo chứng thư số mới được gia hạn
47 Thu hồi vagrave đigravenh chỉ chứng thư số
471 Caacutec tigravenh huống thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven sẽ tiến hagravenh thu hồi chứng thư số của thuecirc
bao trong caacutec trường hợp sau đacircy
- Thuecirc bao coacute yecircu cầu Cocircng ty cổ phần Chứng số An Toagraven thu hồi chứng thư
số của migravenh
- Khoaacute biacute mật của thuecirc bao bị lộ hoặc coacute nguy cơ bị mất an toagraven
- Thiết bị lưu trữ khoacutea biacute mật của thuecirc bao bị mất hoặc coacute nguy cơ bị khai thaacutec
ngoagravei mong muốn của thuecirc bao
- Chứng thư số của thuecirc bao bị sử dụng sai mục điacutech hoặc khocircng phugrave hợp với
caacutec quy định của phaacutep lụacirct Quy chế chứng thực chữ kyacute số nagravey vagrave hợp đồng giữa thuecirc
bao với Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin để xin cấp chứng thư số lagrave thocircng tin giả mạo khocircng chiacutenh xaacutec
- Khi coacute yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền
- Khi chứng thư số của thuecirc bao hết hạn sử dụng
472 Ai coacute thể yecircu cầu thu hồi chứng thư số
- Đối với thuecirc bao lagrave caacute nhacircn thigrave chỉ coacute caacute nhacircn đoacute mới coacute quyền yecircu cầu Cocircng
ty cổ phần Chứng số An Toagraven thu hồi chứng thư số của migravenh
- Đối với thuecirc bao lagrave tổ chức thigrave chỉ coacute caacute nhacircn đại diện cho tổ chức đatilde được
uỷ quyền xin cấp chứng thư số trước đoacute mới coacute quyền yecircu cầu Cocircng ty cổ phần Chứng
số An Toagraven thu hồi chứng thư số của migravenh
- Caacutec cơ quan nhagrave nước coacute thẩm quyền
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 24: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/24.jpg)
24
- Cocircng ty cổ phần Chứng số An Toagraven coacute quyền đơn phương thu hồi chứng thư
số đatilde cấp cho thuecirc bao trong trường hợp xaacutec thực được chứng thư số của thuecirc bao bị
nằm trong caacutec tigravenh huống thu hồi chứng thư số tại điểm 471 necircu trecircn
473 Thủ tục thu hồi chứng thư số
Quy trigravenh xaacutec thực thu hồi chứng thư số
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
Trường hợp thocircng tin yecircu cầu của thuecirc bao lagrave chiacutenh xaacutec bộ phận SAFE-CA
RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave bộ phận SAFE-CA thực hiện
thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo lyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
474 Thủ tục Thuecirc bao tự thu hồi chứng thư số
Cocircng ty cổ phần Chứng số An Toagraven quy định chỉ coacute Cocircng ty cổ phần Chứng
số An Toagraven mới coacute quyền thu hồi chứng thư số để đảm bảo việc quản lyacute vagrave sử dụng
chứng thư số thống nhất an toagraven chiacutenh xaacutec
475 Thủ tục thu hồi chứng thư số theo yecircu cầu
Trường hợp thuecirc bao muốn thu hồi chứng thư số thuecirc bao cần gửi yecircu cầu thu
hồi chứng thư số đến bộ phận SAFE-CA RA của Cocircng ty cổ phần Chứng số An Toagraven
Bộ phận SAFE-CA RA tiến hagravenh xaacutec thực thocircng tin yecircu cầu thu hồi chứng thư
số của thuecirc bao
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 25: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/25.jpg)
25
Trường hợp thocircng tin yecircu cầu của thuecirc bao hoặc cơ quan coacute thẩm quyền lagrave
chiacutenh xaacutec bộ phận SAFE-CA RA gửi thocircng baacuteo thu hồi đến bộ phận SAFE-CA vagrave
bộ phận SAFE-CA thực hiện thu hồi chứng thư số của thuecirc bao
Sau khi xử lyacute bộ phận SAFE-CA gửi thocircng baacuteo lại kegravem theo kyacute do thu hồi
chứng thư số cho bộ phận SAFE-CA RA để thocircng baacuteo cho thuecirc bao
476 Quy trigravenh tạm dừng chứng thư số theo yecircu cầu
Cocircng ty cổ phần Chứng số An Toagraven khocircng cung cấp dịch vụ tạm dừng chứng
thư số theo yecircu cầu
477 Thời hạn gửi yecircu cầu thu hồi chứng thư số
Ngay khi phaacutet hiện việc sử dụng chứng thư số coacute nguy cơ bị xacircm hại hoặc
khocircng đuacuteng mục điacutech hoặc thuecirc bao mong muốn thu hồi chứng thư số thuecirc bao cần
gửi yecircu cầu thu hồi chứng thư số đến Cocircng ty cổ phần Chứng số An Toagraven
478 Thời gian bắt đầu xử lyacute yecircu cầu thu hồi chứng thư số
Ngay khi nhận được yecircu cầu từ thuecirc bao bộ phận SAFE-CA RA coacute traacutech
nhiệm xaacutec thực thocircng tin của thuecirc bao vagrave gửi thocircng baacuteo đến bộ phận SAFE-CA để
giải quyết
479 Kiểm tra trạng thaacutei thu hồi
Người nhận cũng như thuecirc bao coacute thể tiến hagravenh kiểm tra trạng thaacutei thu hồi của
chứng thư số trecircn website cocircng bố thocircng tin cocircng khai về danh saacutech chứng thư số bị
thu hồi của Cocircng ty cổ phần Chứng số An Toagraven
4710 Tần suất cocircng bố CRL mới
Cơ sở dữ liệu về danh saacutech chứng thư số bị thu hồi của Cocircng ty cổ phần Chứng
số An Toagraven (CRL) được cập nhật thường xuyecircn liecircn tục Khi bất kỳ một chứng thư
số nagraveo bị thay đổi trạng thaacutei (bị thu hồi) sẽ được cập nhật tức thời lecircn danh saacutech nagravey
4711 Kiểm tra trạng thaacutei chứng thư số trực tuyến
Thocircng tin về trạng thaacutei chứng thư số trực tuyến được Cocircng ty cổ phần Chứng
số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người nhậnthuecirc
bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng dẫn chi
tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một caacutech dễ
dagraveng thuận tiện
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 26: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/26.jpg)
26
4712 Yecircu cầu kiểm tra trạng thaacutei thu hồi trực tuyến
Thocircng tin về trạng thaacutei thu hồi chứng thư số trực tuyến được Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố trecircn cơ sở dữ liệu tại website của Cocircng ty vagrave người
nhậnthuecirc bao coacute thể truy cập thocircng qua maacutey chủ OCSP Cocircng ty sẽ cung cấp hướng
dẫn chi tiết đầy đủ thocircng tin để khaacutech hagraveng coacute thể sử dụng được dịch vụ nagravey một
caacutech dễ dagraveng thuận tiện
4713 Caacutec dạng thocircng tin trạng thaacutei thu hồi khaacutec
Khocircng coacute quy định riecircng về nội dung nagravey
4714 Yecircu cầu đặc biệt khi khoacutea CA sub CA bị mất bị lộ hoặc thu hồi
Trong trường hợp khoacutea CA subCA (RA) bị lộ hoặc bị thu hồi Cocircng ty cổ phần
Chứng số An Toagraven coacute traacutech nhiệm thocircng baacuteo ngay đến toagraven thể caacuten bộ cocircng nhacircn
viecircn trong Cocircng ty vagrave caacutec đối taacutec cũng như thuecirc bao vagrave tiến hagravenh xin cấp lại khoacutea
mới để đảm bảo an toagraven bảo mật cho dịch vụ
48 Dịch vụ về trạng thaacutei chứng thư số
481 Phương tiện cocircng bố
Trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An Toagraven cocircng bố
trecircn danh saacutech CRL tại website của Cocircng ty qua dịch vụ truy cập cơ sở dữ liệu trực
tiếp LDAP hoặc dịch vụ OCSP
482 Tiacutenh sẵn sagraveng của dịch vụ
Dịch vụ kiểm tra trạng thaacutei chứng thư số được Cocircng ty cổ phần Chứng số An
Toagraven cung cấp 247 vagrave đảm bảo duy trigrave liecircn tục
483 Tugravey chọn đặc biệt
Đối với dịch vụ kiểm tra trạng thaacutei chứng thư số thocircng qua OCSP lagrave dịch vụ
gia tăng necircn chỉ được cung cấp cho một số thuecirc bao trong một vagravei dịch vụ theo quy
định của Cocircng ty cổ phần Chứng số An Toagraven
49 Kết thuacutec thuecirc bao chứng thư số
Thuecirc bao chấm dứt hợp đồng sử dụng chứng thư số trong caacutec trường hợp sau
- Khocircng cograven nhu cầu tiếp tục sử dụng khi hợp đồng hết thời hạn
- Sau khi bị thu hồi chứng thư số vagrave khocircng coacute nhu cầu thay thế bằng chứng thư
số mới khaacutec
410 Lưu khoacutea ở becircn thứ ba vagrave khocirci phục khoacutea
Cocircng ty cổ phần Chứng số An Toagraven khocircng khocircng lưu khoacutea biacute mật của thuecirc
bao
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 27: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/27.jpg)
27
V THIẾT BỊ QUẢN LYacute VAgrave KIỂM SOAacuteT VẬN HAgraveNH
51 Kiểm soaacutet vật lyacute
511 Tiacutenh sẵn sagraveng của dịch vụ
Hoạt động của SAFE-CA vagrave RA được xacircy dựng becircn trong một mocirci trường
vật lyacute được bảo vệ nhằm ngăn cản vagrave dograve tigravem ra caacutec truy cập sử dụng hoặc phơi bagravey
caacutec thocircng tin nhạy cảm một caacutech bất hợp phaacutep vagrave hệ thống được cocircng khai hay che
dấu
SAFE-CA cũng đồng thời duy trigrave caacutec biện phaacutep phograveng ngừa thảm họa cho
caacutec hoạt động về CA của migravenh Caacutec biện phaacutep phograveng ngừa thảm họa được bảo vệ
bởi nhiều tầng bảo mật mức vật lyacute
Hệ thống caacutec chiacutenh saacutech chứng thực bổ sung đảm bảo tiacutenh sẵn sagraveng cho thuecirc
bao được cấp chứng thư vagrave đối taacutec tin cậy
Thocircng tin trạng thaacutei chứng thư số khaacutec sẵn sagraveng qua một kho chứa web-
based vagrave nơi được đưa ra OCSP Ngoagravei việc xuất bản CRLs SAFE-CA cung cấp
thocircng tin tigravenh trạng Chứng thư số thocircng qua những chức năng cacircu hỏi trong kho
chứa của dịch vụ SAFE-CA
SAFE-CA cũng cung cấp thocircng tin tigravenh trạng chứng thư số OCSP Thuecirc bao
Doanh nghiệp người magrave kyacute hợp đồng với dịch vụ OCSP coacute thể kiểm tra tigravenh trạng
chứng thư số thocircng qua việc sử dụng OCSP
512 Truy cập vật lyacute
Việc ra vagraveo trụ sở Cocircng ty cổ phần Chứng số An Toagraven đogravei hỏi tất cả phải coacute
thẻ nhacircn viecircn Trong trường hợp khaacutech đến cơ quan giao dịch khaacutech cần xuất trigravenh
chứng minh thư nhacircn dacircn hoặc hộ chiếu Caacutec giấy tờ nagravey sẽ được lưu lại tại trụ sở
của bảo vệ cơ quan vagrave khaacutech sẽ được cấp thẻ khaacutech đi lại trong cơ quan
Quyền ra vagraveo nơi đặt thiết bị phục vụ việc cung cấp dịch vụ chứng thực chữ kyacute
số được kiểm soaacutet bởi hệ thống kiểm tra dấu vacircn tay vagrave nhacircn viecircn bảo vệ Bản thacircn
nhacircn viecircn bảo vệ khocircng coacute quyền ra vagraveo nơi đặt thiết bị Nhacircn viecircn nagravey coacute nhiệm
vụ ngăn chặn những cố gắng xacircm nhập của người lạ khocircng coacute thẩm quyền Những
người coacute thể vagraveo nơi đặt thiết bị phải lagrave những người magrave nhacircn viecircn bảo vệ biết trước
lagrave coacute quyền hạn vagrave traacutech nhiệm đi vagraveo khu vực nagravey đồng thời phải xaacutec thực vagrave cho
pheacutep của hệ thống nhận dạng vacircn tay Mặt khaacutec nơi đặt thiết bị coacute camera theo dotildei
liecircn tục (247)
Quyền truy nhập hệ thống chỉ được trao cho những người coacute traacutech nhiệm quản
trị vagrave theo dotildei hệ thống Do đoacute những người khocircng đủ thẩm quyền nếu coacute vượt
qua được hệ thống bảo vệ vagrave kiểm soaacutet vacircn tay cũng khocircng coacute khả năng truy nhập
vagraveo hệ thống
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 28: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/28.jpg)
28
513 Điều kiện về nguồn điện mocirci trường vagrave phograveng traacutenh thảm họa
Hệ thống CA cung cấp dịch vụ SAFE-CA được nối qua hệ thống UPS coacute khả
năng cung cấp điện trong thời gian khoảng 30 phuacutet Đồng thời hệ thống phaacutet điện
của togravea nhagrave coacute hệ thống maacutey phaacutet sẽ được kiacutech hoạt sau khi mất điện khoảng 4
phuacutet Điều nagravey bảo đảm nguồn điện cung cấp cho hệ thống lagrave liecircn tục
SAFE-CA coacute phương aacuten phograveng ngừa để hạn chế đến mức tối thiểu vấn đề nước
xacircm nhập vagraveo hệ thống của migravenh
SAFE-CA coacute phương aacuten phograveng ngừa để ngăn chặn vagrave dập tắt lửa hay caacutec thảm
họa khaacutec coacute thể gacircy chaacutey hay khoacutei Hệ thống phograveng chaacutey chữa chaacutey của SAFE-CA
được thiết kế để phugrave hợp với tiecircu chuẩn phograveng chaacutey chữa chaacutey
514 Phương tiện lưu trữ dữ liệu
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư
liệu hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc
trong một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương
tiecircn vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh
thẩm quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa
điện từ trường)
515 Xử lyacute raacutec
Caacutec tagravei liệu vagrave tagravei nguyecircn nhạy cảm cần được cắt thagravenh từng miếng vụn trước
khi hủy Caacutec phương tiện thu thập hay truyền caacutec thocircng tin nhạy cảm cần được lagravem
cho khocircng thể truy cập được trước khi tiecircu hủy Caacutec thiết bị dugraveng để matilde hoacutea được
phaacute hủy về mặt vật lyacute theo hướng dẫn của nhagrave sản xuất trước khi tiecircu hủy Caacutec loại
raacutec khaacutec được tiecircu hủy đạt yecircu cầu về tiecircu hủy raacutec thocircng thường của SAFE-CA
516 Hệ thống dự phograveng ở địa điểm khaacutec
Hệ thống dự phograveng (back up) cho dịch vụ SAFE-CA cũng được xacircy dựng về
mặt chức năng giống hệt hệ thống chiacutenh thức vagrave được đặt ở xa hệ thống chiacutenh thức
52 Caacutec thủ tục kiểm soaacutet
521 Những caacute nhacircn được tin tưởng
Người tin tưởng bao gồm tất cả caacutec nhacircn viecircn kĩ sư tư vấn coacute sự truy cập tới
hay điều khiển quaacute trigravenh xaacutec thực hoặc matilde hoacutea coacute thể gacircy ảnh hưởng lớn tới
Quaacute trigravenh kiểm tra thocircng tin trong ứng dụng Chứng thư số
Việc chấp nhận từ chối hoặc caacutec xử lyacute khaacutec của ứng dụng Chứng thư số thu
hồi caacutec yecircu cầu ban hagravenh mới caacutec thỉnh cầu hoặc caacutec thocircng tin về kết nạp
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 29: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/29.jpg)
29
Ban hagravenh thu hồi chứng thư của caacutec nhacircn viecircn coacute truy cập tới caacutec phần bị hạn
chế của hệ thống
Chuyển giao thocircng tin hoặc yecircu cầu của thuecirc bao
Người tin tưởng bao gồm nhưng khocircng giới hạn bởi những thagravenh phần sau
Caacutec nhacircn viecircn dịch vụ thuecirc bao
Caacutec nhacircn viecircn điều hagravenh cocircng việc matilde hoacutea caacutec nhacircn viecircn an ninh
Caacutec nhacircn viecircn bảo mật hệ thống caacutec kĩ sư được chỉ định
Ủy viecircn ban quản trị được chỉ định để quản lyacute lai lịch tin cậy
SAFE-CA coi những thagravenh phần nhacircn viecircn được phacircn loại trong phần nagravey lagrave
những người được tin tưởng (Trusted persons) coacute vị triacute được tin tưởng (Trusted
position) Những người muốn trở thagravenh những người được tin tưởng bằng caacutech đạt
được những vị triacute tin tưởng cần hoagraven thagravenh thagravenh cocircng những yecircu cầu được chỉ ra
trong CPS nagravey
522 Số người được yecircu cầu trecircn một nhiệm vụ nhạy cảm
SAFE-CA đatilde thiết lập duy trigrave vagrave coacute caacutec yecircu cầu nghiecircm ngặt về thủ tục điều
khiển để đảm bảo sự phacircn cocircng nhiệm vụ dựa trecircn khả năng lagravem việc vagrave đatilde chỉ ra
rằng nhiều người được tin tưởng sẽ cugraveng thực hiện caacutec cocircng việc coacute tiacutenh chất nhạy
cảm
523 Nhận dạng vagrave xaacutec thực trong mỗi vai trograve
Với tất cả những người muốn được trở thagravenh tin tưởng quaacute trigravenh phecirc chuẩn
nhận dạng được thực hiện qua sự hiện diện về mặt con người (hay vật lyacute) của những
người nagravey trước khi những người được tin tưởng thực hiện bởi SAFE-CA hay caacutec
thủ tục an ninh vagrave một quaacute trigravenh kiểm tra thocircng thường ( như hộ chiếu hay giấy pheacutep
laacutei xe) Nhận dạng sẽ được kiểm tra thecircm một mức nữa thocircng qua thủ tục kiểm tra
lai lịch
SAFE-CA đảm bảo những nhacircn viecircn đạt được vị triacute được tin tưởng vagrave bộ phận
phecirc chuẩn được giao trước khi những nhacircn viecircn nagravey
Được cấp pheacutep truy cập vagrave cấp truy cập tới caacutec tiện nghi cần thiết
Được cấp caacutec tagravei liệu điện tử để coacute thể truy cập đến vagrave thực hiện một số chứng
năng trecircn SAFE-CA RA hay caacutec hệ thống IT khaacutec
524 Những vai trograve yecircu cầu phải phacircn taacutech nhiệm vụ
Những caacute nhacircn muốn trở thagravenh người được tin tưởng giao trọng traacutech trong
SAFE-CA cần phải chứng minh migravenh coacute được lai lịch phugrave hợp coacute phẩm chất tốt vagrave
kinh nghiệm cần thiết để thực hiện tốt caacutec yecircu cầu cocircng việc trong tương lai cũng
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 30: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/30.jpg)
30
như việc được tin tưởng nếu coacute cần thiết để thực hiện caacutec dịch vụ về chứng thư
theo hợp đồng quản lyacute Quaacute trigravenh kiểm tra lai lịch được lặp đi lặp lại trong vograveng 5
năm với những nhacircn viecircn nắm giữ vị triacute được tin tưởng
53 Kiểm soaacutet nhacircn sự
531 Khả năng chuyecircn mocircn kinh nghiệm vagrave sự trong sạch
SAFE-CA yecircu cầu những nhacircn viecircn muốn được trở thagravenh người được tin tưởng
chứng minh được lai lịch tốt coacute phẩm chất tốt vagrave kinh nghiệm cần thiết để thực hiện
tốt caacutec yecircu cầu cocircng việc trong tương lai cũng như việc được tin tưởng nếu coacute cần
thiết để thực hiện caacutec dịch vụ về chứng thư theo hợp đồng quản lyacute
532 Caacutec thủ tục kiểm tra lyacute lịch trigravenh độ
Trước khi cấp vai trograve được tin tưởng cho một nhacircn viecircn SAFE-CA thực hiện
việc kiểm tra lai lịch gồm caacutec yếu tố sau
Giấy xaacutec nhận của địa phương về caacute nhacircn gia đigravenh
Sự xaacutec nhận của nhacircn viecircn trước
Kiểm tra tham khảo đồng nghiệp
Sự xaacutec nhận của mức độ đagraveo tạo cao nhất đatilde đạt được
Kiểm tra caacutec tiền aacuten tiền sự (ở địa phương thagravenh phố vagrave quốc gia)
Kiểm tra thocircng tin về tagravei chiacutenh tiacuten dụng
Kiểm tra giấy pheacutep laacutei xe
Kiểm tra thocircng tin an ninh xatilde hội
Phạm vi của caacutec yecircu cầu bắt buộc trong phần nagravey coacute thể khocircng đạt được do
luật phaacutep hay giới hạn của một luật phaacutep địa phương hoặc caacutec hoagraven cảnh nagraveo đấy
SAFE-CA sẽ sử dụng một kĩ thuật đaacutenh giaacute thay thế khaacutec được cho pheacutep bởi luật
phaacutep kĩ thuật nagravey cung cấp caacutec thocircng tin tương tự coacute thể thay thế coacute thể bao gồm
nhưng khocircng giới hạn để đạt được quaacute trigravenh kiểm tra lai lịch bởi caacutec đại diện phaacutep
lyacute
Caacutec yếu tố tigravem ra trong một quaacute trigravenh kiểm tra lai lịch coacute thể được dugraveng để
loại bỏ caacutec ứng viecircn ra khỏi vị triacute người được tin tưởng hay chống lại những người
đang được tin tưởng thocircng thường lagrave
Sự xuyecircn tạc thocircng tin do chiacutenh ứng viecircn hay người được tin tưởng cung
cấp
Mức độ khocircng taacuten thagravenh hay tin cậy cao của những người được tham
khảo
Tiền aacuten tiền sự
Thiếu khả năng về tagravei chiacutenh
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 31: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/31.jpg)
31
Baacuteo caacuteo bao gồm caacutec thocircng tin trecircn được đaacutenh giaacute bởi bộ phận quản trị nguồn
nhacircn lực vagrave caacutec nhacircn viecircn an ninh những người sẽ đưa ra caacutec biện phaacutep thiacutech hợp
cho mỗi trường hợp mức độ vagrave tần suất khocircng được đề cập đến trong quaacute trigravenh
kiểm tra lai lịch Những hagravenh động nagravey coacute thể bao gồm việc kiểm tra vagrave loại bỏ caacutec
ứng viecircn cho vị triacute được tin tưởng hoặc chấm dứt cocircng việc của những người đang
được tin tưởng
Việc sử dụng caacutec thocircng tin thu thập được từ trong quaacute trigravenh kiểm tra lai lịch để
đưa ra caacutec hagravenh động thiacutech hợp với luật phaacutep vagrave chiacutenh saacutech địa phương
533 Yecircu cầu đagraveo tạo vận hagravenh hệ thống CA
SAFE-CA đagraveo tạo nhacircn viecircn trước khi thuecirc cũng như đagraveo tạo trong quaacute trigravenh
lagravem việc khi cần để họ coacute thể hoagraven thagravenh được cocircng việc của migravenh SAFE-CA lưu
giữ caacutec tư liệu của những lần đagraveo tạo nagravey SAFE-CA thường xuyecircn xem xeacutet lại vagrave
nacircng cấp caacutec chương trigravenh đagraveo tạo của migravenh khi thấy cần
Chương trigravenh đagraveo tạo của SAFE-CA thiacutech hợp với mỗi cocircng việc riecircng lẻ vagrave
thường liecircn quan đến
Caacutec vấn đề cơ bản về nền tảng khoacutea cocircng cộng
Yecircu cầu của cocircng việc
Chiacutenh saacutech vagrave caacutec thủ tục an ninh vagrave hoạt động của dịch vụ SAFE-CA Sử dụng
vagrave điều hagravenh caacutec phần cứng vagrave phần mềm đatilde triển khai
Baacuteo caacuteo chuyển giao caacutec thỏa ước vagrave caacutec vấn đề liecircn quan
Thủ tục khocirci phục sau thảm họa vagrave duy trigrave cocircng việc
534 Tần suất luacircn chuyển cocircng việc
SAFE-CA thường xuyecircn đagraveo tạo lại vagrave cập nhật thocircng tin cho caacutec nhacircn viecircn
của migravenh với mức độ vagrave tần suất yecircu cầu magrave mỗi nhacircn viecircn nagravey cần để họ duy trigrave
mức độ tin tưởng vagrave thực hiện tốt caacutec cocircng việc của migravenh
535 Xử lyacute caacutec hagravenh động khocircng được pheacutep
Caacutec biện phaacutep kỉ luật phugrave hợp được thi hagravenh với những hagravenh động bất hợp
phaacutep hay caacutec hagravenh động phaacute rối caacutec chiacutenh saacutech vagrave thủ tục của SAFE-CA Caacutec biện
phaacutep kỉ luật coacute thể bao gồm đaacutenh giaacute vagrave coacute thể chấm dứt tương ứng với tần suất vagrave
mức độ nghiecircm trọng của caacutec hagravenh động bất hợp phaacutep
536 Phối hợp với Trung tacircm Chứng thực chữ kyacute số quốc gia
Thường xuyecircn phối hợp với Trung tacircm Chứng thực quốc gia để kiểm tra hệ
thống SAFE-CA vagrave xử lyacute caacutec tigravenh huấn coacute thể xảy ra
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 32: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/32.jpg)
32
54 Quy trigravenh lưu nhật kyacute kiểm toaacuten hệ thống CA
541 Caacutec loại sự kiện được ghi lại
SAFE-CA lưu trữ nhật kyacute tự động mọi thao taacutec trecircn hệ thống cấp phaacutet vagrave hệ thống
maacutey tiacutenh Caacutec sự kiecircn được ghi lại bao gồm
Coacute taacutec động thay đổi cấu higravenh hệ thống hoặc coacute sự cố xảy ra trong hệ thống
Coacute thao taacutec tạo thay đổi hoặc thu hồi cặp khoacutea
Coacute truy cập vagraveo nơi đặt thiết bị phục vụ cho CA vagrave trụ sở lagravem việc
542 Tần suất xử lyacute nhật kyacute kiểm toaacuten
Caacutec nhật kyacute sẽ được lưu lại tức thời khi coacute sự kiện liecircn quan đến hệ thống CA vagrave
caacutec sự kiện sẽ được xử lyacute hằng ngagravey
543 Thời hạn giữ lại caacutec nhật kyacute kiểm toaacuten
SAFE-CA quy định thời hạn lưu trữ nhật kyacute đối với từng loại sự kiện như sau
Thocircng tin thời hạn lưu iacutet nhất 1 năm
Cảnh baacuteo Thời hạn lưu iacutet nhất 1 năm
Lỗi Thời hạn lưu iacutet nhất 1 năm
Nhật kyacute vagraveo ra trụ sở vagrave nơi đặt thiết bị thời gian lưu lagrave 5 năm
544 Bảo vệ caacutec nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được lưu dưới 2 dạng lagrave giấy vagrave dạng tệp tin tecircn maacutey tiacutenh
Dạng giấy Được lưu cất trong tủ hồ sơ coacute khoacutea bảo vệ
Dạng tệp tin trecircn maacutey tiacutenh được lưu tại maacutey chủ tại trụ sở được phacircn quyền
truy cập vagrave backup hagraveng ngagravey
545 Caacutec thủ tục dự phograveng nhật kyacute kiểm toaacuten
Nhật kyacute kiểm toaacuten được cập nhật vagrave backup hagraveng ngagravey
546 Phương thức ghi nhật kyacute kiểm toaacuten
Phương thức ghi sổ nhật kyacute kiểm toacutean coacute 2 loại
Log Tự động được lưu lại trecircn caacutec thiết bị vagrave sẽ được tổng hợp xử lyacute
Sổ nhật kyacute Dưới dạng giấy
547 Thocircng baacuteo cho đối tượng gacircy ra sự kiện
SAFE-CA thocircng baacuteo cho caacutec đối tượng thocircng qua
Điện thoại
548 Đaacutenh giaacute lỗ hổng hệ thống
SAFE-CA đưa ra quy trigravenh đaacutenh giaacute hệ thống hagraveng thaacuteng vagrave trecircn kết quả đaacutenh giaacute
sẽ phacircn tiacutech vagrave tigravem ra caacutec lỗ hổng vagrave sự cố coacute thể xảy ra trong tương lai Giuacutep phograveng
ngừa rủi ro
55 Lưu trữ caacutec bản ghi
551 Caacutec loại bản ghi được lưu trữ
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 33: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/33.jpg)
33
Caacutec loại bản ghi được lưu trữ dưới dạng cơ sở dữ liệu
552 Thời hạn giữ lại caacutec lưu trữ
553 Bảo vệ lưu trữ
Caacutec thocircng tin lưu trữ được bảo vệ bằng khoacutea vagrave mật matilde Phacircn quyền truy cập vagraveo
nơi lưu trữ
554 Caacutec thủ tục sao lưu lưu trữ
Tất cả caacutec sản phẩm lưu trữ thocircng tin về phần mềm vagrave dữ liệu kiểm toaacuten tư liệu
hay thocircng tin dự phograveng được lưu giữ trong phương tiện của SAFE-CA hoặc trong
một phương tiện lưu trữ được đảm bảo an ninh với việc triển khai caacutec phương tiecircn
vật lyacute vagrave caacutec điều khiển truy cập để hạn chế truy cập tới caacutec cocircng việc coacute tiacutenh thẩm
quyền vagrave bảo vệ caacutec phương tiện lưu trữ khocircng bị phaacute hủy ( do nước lửa điện từ
trường)
555 Nhatilden thời gian của caacutec bản ghi
Nhatilden thời gian coacute thể aacutep dụng hoặc khocircng aacutep dụng Nếu aacutep dụng phải sử dụng
thời gian ở nguồn đaacuteng tin cậy
556 Hệ thống lưu trữ
Hệ thống lưu trữ đảm bảo bảo mật thocircng tin coacute sao lưu dự phograveng vagrave coacute thể phụ
hồi nhanh trong trường hợp xảy ra sự cố
Đảm bảo duy trigrave hoat động vagrave truy cập thocircng tin nhanh vagrave liecircn tục
557 Thủ tục truy cập vagrave kiểm tra thocircng tin lưu trữ
Khi coacute nhu cầu truy cập vagraveo caacutec thocircng tin lưu trữ phải thực hiện theo quy trigravenh magrave
Cocircng ty cổ phần Chứng số An Toagraven đề ra
56 Thay đổi khoacutea của CA
57 Lộ khoacutea vagrave khocirci phục sự cốthảm họa
571 Caacutec thủ tục kiểm soaacutet sự cố vagrave thảm họa
Cocircng ty cổ phần Chứng số An Toagraven cocircng bố quy trigravenh kiểm soaacutet sự cố vagrave thảm
họa đến từng nhacircn viecircn
572 Sự cố về maacutey tiacutenh phần mềm vagrave dữ liệu
Khi coacute sự cố xảy ra tuy theo từng trường hợp sẽ xử lyacute vagrave đảm bảo thời gian khắc
phục lagrave nhanh nhất
- Khi coacute sự cố về phần mềm Lập tức phục hồi từ caacutec dự liệu dự phograveng gần nhất
- Khi coacute sự cố về phần cứng hoặc thảm họa xảy ra Thực hiện lấy dữ liệu vagrave hệ
thống từ site dự phograveng chuyển sang
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 34: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/34.jpg)
34
- Lập tức thocircng baacuteo cho Trung tacircm chứng thực điện tử Quốc gia vagrave cugraveng phối hợp
với caacutec chuyển gia để xử lyacute
- Tiến hagravenh thocircng baacuteo thocircng tin sự cố đến Latildenh đạo Trung tacircm chứng thực điện
tử Quốc gia vagrave caacutec thuecirc bao bằng mọi caacutech coacute thể
- Trong trường hợp xấu nhất coacute thể hủy tất cả khoacutea vagrave chấp nhận đền bugrave
573 Thủ tục xử lyacute khi khoacutea biacute mật bị lagravem mấtlộ
Thực hiện thủ tục thu hồi theo điểm 473
574 Khả năng phục hồi hoạt động sau thảm họa
Luocircn coacute hệ thống dự phograveng vagrave sẽ hoạt động khi coacute thảm họa xảy ra Thời gian
nhậm nhất để phục hồi lagrave 8 giờ
58 Kết thuacutec CA vagrave RA
Trong trường hợp kết thuacutec CA vagrave RA Cocircng ty cổ phần chứng số An Toagraven sẽ thực
hiện chuyển tất cả caacutec thuecirc bao qua nhagrave cung cấp dịch vụ khaacutec hoặc thực hiện đền bugrave
vagrave thu hồi caacutec chuacuteng thư cần thiết
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 35: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/35.jpg)
35
VI KIỂM SOAacuteT AN TOAgraveN KỸ THUẬT
61 Tạo cặp khoacutea vagrave cagravei đặt
611 Sinh cặp khoacutea
Dịch vụ SAFE-CA tạo ra cặp khoacutea cho thuecirc bao bằng caacutech sử dụng một số ngẫu
nhiecircn được tạo ra trong module matilde hoacutea của thiết bị PKI đạt tiecircu chuẩn của FIPS 140-
2 level 3
Chứng thư của người đăng kyacute dịch vụ phải được sinh ra tại hệ thống CA Server
của nhagrave cung cấp dịch vụ
Cặp khoacutea của người đăng kyacute điều được phần cứng của thiết bị PKI sinh ngẫu nhiecircn
theo thuật toaacuten RSA (Hardware based generator) tại maacutey caacute nhacircn của người đăng kyacute
dịch vụ hệ thống CA Server của dịch vụ SAFE-CA khocircng lưu trữ khoacutea biacute mật của
người đăng kyacute vagrave sẽ khocircng thể thực hiện dịch vụ khocirci phục khoacutea cho người đăng kyacute
Trong quaacute trigravenh sinh khoacutea vagrave truyền tải chứng thư tới người đăng kyacute người đăng
kyacute sẽ được nhận một mật khẩu do hệ thống CA tự động sinh ra (một caacutech ngẫu nhiecircn)
qua thư điện tử Dugraveng tagravei khoản khi đăng kyacute dịch vụ vagrave mật khẩu nagravey sẽ cho pheacutep
người đăng kyacute xaacutec thực được đuacuteng người đăng kyacute để nhận chứng thư số Quaacute trigravenh
kết nối vagrave lưu chuyển thocircng tin giữa hệ thống CA vagrave maacutey tiacutenh caacute nhacircn của người
dugraveng được thực hiện qua kết nối truyền thocircng bảo mật (SSL) necircn bảo đảm tiacutenh an
toagraven của thocircng tin Nếu người đăng kyacute để lộ cả tagravei khoản mật khẩu vagrave thiết bị PKI
thigrave chứng thư sẽ coacute thể được sinh ra bởi người khaacutec vagrave khi đoacute coacute thể cặp khoacutea vagrave
chứng thư sẽ rơi vagraveo tay người khaacutec Trong trường hợp nagravey traacutech nhiệm hoagraven toagraven
thuộc về người đăng kyacute dịch vụ Tuy nhiecircn người đăng kyacute coacute thể viết yecircu cầu tới hệ
thống đăng kyacute để hệ thống coacute thể thu hồi chứng thư số cũ
Sau đoacute người đăng kyacute coacute thể sinh ra cặp khoacutea mới vagrave hệ thống CA sẽ kyacute một
chứng thư mới cho người đăng kyacute
612 Gửi khoacutea cocircng khai cho CA
Thuecirc bao sử dụng cuối vagrave RA trigravenh khoacutea cocircng khai của họ tới SAFE-CA cho caacutec
chứng thư điện tử thocircng qua việc sử dụng yecircu cầu kiacute chứng thư PCKS 10 (CSR)
hoặc caacutec goacutei chứng thư trong một phiecircn lagravem việc được bảo mật bởi SSL Khi cặp
khoacutea của CA RA hoặc của người sử dụng cuối được tạo ra bởi SAFE-CA yecircu cầu
nagravey lagrave khocircng thiacutech hợp
613 Cocircng bố khoacutea cocircng khai của CA
Toagraven bộ thocircng tin của CA thocircng tin về chứng thư của thuecirc bao được cocircng bố trecircn
website dịch vụ SAFE-CA Người dugraveng coacute thể sử dụng phương phaacutep tigravem kiếm lọc
nội dung thocircng tin để nhận được thocircng tin quan tacircm trecircn website của nhagrave cung cấp
dịch vụ
Tất cả caacutec thocircng tin về thuecirc bao được lưu trữ trong hệ thống cơ sở dữ liệu quan hệ
vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec vagrave cập nhật
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 36: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/36.jpg)
36
thocircng tin thuecirc bao phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư
số coacute hiệu lực
614 Độ dagravei khoacutea của thuecirc bao
Caacutec cặp khoacutea cần coacute chiều dagravei thiacutech hợp để ngăn chặn những caacute nhacircn xaacutec định
khoacutea biacute mật với việc phacircn tiacutech matilde hoacutea trong khoảng ước đoaacuten sử dụng của mỗi cặp
khoacutea Chuẩn hiện tại của SAFE-CA yecircu cầu chiều dagravei tối thiểu của cặp khoacutea để đảm
bảo mức độ matilde hoacutea đủ mạnh lagrave 1024 bit RSA
SAFE-CA khuyến caacuteo caacutec đơn vị coacute thẩm quyền đăng kiacute vagrave người dugraveng cuối tạo
ra cặp khoacutea RSA dagravei 1024 bit
615 Caacutec tham số sinh cặp khoacutea matilde cocircng khai vagrave kiểm tra chất lượng
Caacutec chứng thư của SAFE-CA tuacircn theo tiecircu chuẩn RFC 5280 Internet X509
Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile
vagrave đảm bảo yecircu cầu kỹ thuật bắt buộc aacutep dụng theo Thocircng tư 062015TT-BTTTT
Tối thiểu caacutec chứng thư X509 bao gồm caacutec trường cơ bản vagrave caacutec giaacute trị bắt buộc
được chỉ ra hoặc phải tuacircn theo caacutec ragraveng buộc trong bảng dưới đacircy
Tecircn trường Giaacute trị hoặc những ragraveng buộc giaacute trị của trường
Serial number Duy nhất cho một Issuer
Signature
algorythm
Sử dụng thuật toaacuten matilde hoacutea sha256RSA
Issuer Thocircng tin về người phaacutet hagravenh chứng thư
Valid from
Thời gian bắt đầu coacute hiệu lực của chứng thư số
Valid to
Thời gian kết thuacutec hiệu lực của chứng thư số
Subject Thocircng tin về người nhận chứng thư số
Public Key Theo tiecircu chuẩn RFC 5280 Cơ sở hạ tầng khoaacute cocircng
khaiX509 trecircn mocirci trường Internet
Bảng 1 Caacutec trường cơ bản của một chứng thư
62 Bảo vệ khoacutea biacute mật vagrave kiểm soaacutet module matilde hoacutea
621 Tiecircu chuẩn module matilde hoacutea
Đối với cặp khoacutea của CA RA chuacuteng (keypair) được sinh ra tại (vagrave becircn trong)
thiết bị HSM Thales nShield Connect dugraveng thuật toaacuten RSA Việc bảo vệ khoacutea bảo
mật của CA trong caacutec thiết bị phần cứng chuyecircn dụng sẽ giuacutep giảm thiểu nguy cơ lộ
khoacutea biacute mật
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 37: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/37.jpg)
37
Đối với caacutec cặp khoacutea của thuecirc bao chuacuteng (keypair) được tạo ngẫu nhiecircn
trong thiết bị PKI Token hoặc PKI smartcard dugraveng thuật toaacuten RSA (Hardware based
generator) Lệnh sinh khoacutea được gọi thocircng phần mềm quản lyacute PKI token PKI
Smartcard hoặc được gọi từ trigravenh duyệt của người sử dụng thocircng qua CSP Đương
nhiecircn cặp khoacutea nagravey phải được sinh theo thuật toaacuten matilde hoacutea RSA
Caacutec cặp khoacutea tạo ra trong hệ thống bao gồm cặp khoacutea của CA RA vagrave thuecirc
bao điều được phần cứng sinh ngẫu nhiecircn theo thuật toaacuten RSA (Hardware based
generator) phugrave hợp với caacutec tiecircu chuẩn bảo mật matilde hoacutea về tiacutenh duy nhất mật độ
được necircu ra trong thocircng tư 062015TT-BTTTT Mỗi cặp khoacutea đảm bảo được sinh
ngẫu nhiecircn duy nhất một lần Việc phacircn phối khoacutea đến thuecirc bao được thực hiện
bằng thẻ thocircng minh PKI smartcard PKI Token chuẩn FIPS 140-2 level 2 trở lecircn
nhằm đảm bảo an toagraven bảo mật tuyệt đối việc tạo khoacutea vagrave phacircn phối khoacutea
622 Cơ chế kiểm soaacutet khoacutea biacute mật
Khoacutea biacute mật được kiểm soaacutet theo cơ chế (mn) Vậy để lấy được khoacutea biacute mật phải
qua nhiều lớp bảo mật
623 Lưu giữ ngoagravei khoacutea biacute mật của thuecirc bao
Khocircng quy định
624 Dự phograveng khoacutea biacute mật
SAFE-CA tạo bản sao lưu dự phograveng của khoacutea biacute mật nhằm mục điacutech khocirci phục
khoacutea sau thảm họa cũng được lưu trữ tại thiết bị HSM
625 Lưu trữ khoacutea biacute mật
Hệ thống CA sử dụng caacutec thiết bị HSM mới nhất của hatildeng hatildeng nổi tiếng trecircn thế
giới về nhoacutem sản phẩm nagravey Caacutec thiết bị HSM tuacircn theo chuẩn FIPS 140-2 level 3 để
bảo vệ khoacutea biacute mật của caacutec CA thứ cấp vagrave tăng tốc caacutec thao taacutec matilde hoacutea coacute sử dụng
đến khoacutea biacute mật của caacutec CA thứ cấp
626 Chuyển khoacutea biacute mật vagraveora HSM
Được lưu thagravenh 2 bộ một bộ chiacutenh vagrave một bộ phụ
627 Phương thức kiacutech hoạt khoacutea biacute mật
Khi cặp khoacutea của thuecirc bao được tạo ra bởi chiacutenh họ quaacute trigravenh chuyển giao khoacutea biacute
mật tới người dugraveng cuối lagrave khocircng cần thiết
Cặp khoacutea thuecirc bao được tạo sẵn bởi thuecirc bao doanh nghiệp trecircn USB token hay
trecircn caacutec loại thẻ thocircng minh caacutec thiết bị nagravey được chuyển tới khaacutec hagraveng sử dụng cuối
qua một dịch vụ phacircn phối thương mại Quaacute trigravenh phacircn phối của những thiết bị nagravey
được ghi lại bởi thuecirc bao doanh nghiệp
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 38: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/38.jpg)
38
628 Phương phaacutep ngừng kiacutech hoạt khoacutea biacute mật
Khi nhận được yecircu cầu ngưng kiacutech hoạt khoacutea biacute mật SAFE-CA sẽ tiến hagravenh xaacutec
minh thocircng tin nếu thocircng tin đuacuteng sẽ tiến hagravenh cập nhật thocircng tin ngưng kiacutech hoạt
trecircn website dịch vụ
629 Phương phaacutep hủy bỏ khoacutea biacute mật
Khi được yecircu cầu SAFE-CA sẽ huỷ caacutec khoaacute riecircng CA một caacutech triệt để nhằm
đảm bảo rằng caacutec khoacutea đoacute sẽ khocircng được khocirci phục trong bacirct kỳ trường hợp nagraveo
SAFE-CA sẽ sử dụng chức năng xoaacute trắng của caacutec module matilde hoaacute vagrave caacutec thiết bị lưu
giữ khoaacute khaacutec để đảm bảo huỷ hoagraven toagraven caacutec khoaacute riecircng CA Quaacute trigravenh huỷ khoaacute
riecircng sẽ được lưu nhật kyacute
6210 Đaacutenh giaacute thiết bị matilde hoacutea phần cứng
SAFE-CA sử dụng caacutec thiết bị matilde hoacutea chuyecircn dụng Tất cả dữ liệu trecircn hệ thống
đều được matilde hoacutea bảo mật hoagraven toagraven bằng thuật matilde hoacutea phần cứng 256 bit AES
Thiết bị lưu trữ dữ liệu được định vị bằng viacutet đặc biệt rất khoacute thaacuteo rời caacutec thiết
bị nagravey nếu khocircng coacute thiết bị mở chuyecircn dugraveng Vagrave dữ liệu matilde hoacutea necircn khocircng đọc được
trecircn caacutec hệ thocircng khaacutec
63 Caacutec vấn đề khaacutec của việc quản lyacute cặp khoacutea
631 Lưu trữ khoacutea cocircng khai
Tất cả caacutec thocircng tin về khoacutea cocircng khai được lưu trữ trong hệ thống cơ sở dữ liệu
quan hệ vagrave hệ thống danh bạ (LDAP) Điều đoacute cho pheacutep lưu trữ đầy đủ chiacutenh xaacutec
phục vụ cho việc cấp chứng thư số trong suốt thời gian chứng thư số coacute hiệu lực
632 Thời hạn sử dụng chứng thư số vagrave thời hạn sử dụng cặp khoacutea
Chứng thư số coacute hiệu lực từ khi thuecirc bao được cấp chứng thư Tugravey theo từng loại
chứng thư thời gian coacute hiệu lực được quy định theo caacutec mức 1 năm 2 năm hay khaacutec
Mức thời gian hiệu lực của chứng thư số được ghi trecircn chứng thư số
64 Dữ liệu khởi tạo
641 Tạo vagrave cagravei đặt dữ liệu kiacutech hoạt
Dữ liệu kiacutech hoạt đảm bảo caacutec yecircu cầu cho hoạt động của khoacutea hoặc caacutec module
matilde hoacutea coacute chứa khoacutea riecircng như PIN mật matilde Nhằm bảo vệ sử dụng traacutei pheacutep
642 Bảo vệ dữ liệu kiacutech hoạt
Người giữ vagrave bảo vệ dữ liệu kiacutech hoạt nagravey phải lagrave người tin tưởng vagrave được kyacute traacutech
nhiệm bảo mật thocircng tin
643 Caacutec vấn đề khaacutec của dữ liệu kiacutech hoạt
Caacutec dự liệu kiacutech hoạt sau khi sử dụng xong sẽ được hủy bỏ
65 Kiểm soaacutet an ninh cho hệ thống maacutey tiacutenh
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 39: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/39.jpg)
39
651 Caacutec yecircu cầu an ninh hệ thống maacutey tiacutenh
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
652 Đaacutenh giaacute an ninh của hệ thống maacutey tiacutenh
Hệ thống phải được đaacutenh giaacute định kỳ 1 thaacuteng 1 lần vagrave theo quy định nội bộ của
Cocircng ty cổ phần chứng số An Toagraven đề ra
66 Kiểm soaacutet kỹ thuật vograveng đời chứng thư số
661 Giaacutem saacutet triển khai hệ thống
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
662 Quản lyacute giaacutem saacutet an ninh
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
663 Giaacutem saacutet an ninh vograveng đời chứng thư số
Theo quy chế giaacutem saacutet nội bộ của Cocircng ty cổ phần chứng số An Toagraven đề ra
67 Kiểm soaacutet an toagraven mạng
SAFE-CA thực hiện bảo vệ tất cả caacutec chức năng của CA vagrave RA coacute sử dụng mạng
đaacutep ứng theo caacutec hướng dẫn về yecircu cầu về bảo mật vagrave kiểm định (Security and Audit
Requirements Guide) để ngăn cản caacutec truy cập traacutei pheacutep vagrave caacutec hagravenh động cố tigravenh
phaacute hoại khaacutec SAFE-CA bảo vệ sự truyền đạt của caacutec thocircng tin nhạy cảm thocircng qua
việc sử dụng matilde hoaacute vagrave chữ kyacute số
68 Daacuten nhatilden thời gian
Khocircng coacute dịch vụ
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 40: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/40.jpg)
40
VII CHỨNG THƯ SỐ CRL VAgrave HỒ SƠ OCSP
71 Hồ sơ chứng thư số
711 Phiecircn bản
- Chứng thư số của Cocircng ty cổ phần Chứng số An Toagraven (SAFE-CA) tuacircn theo
phiecircn bản 1 hoặc phiecircn bản 3 tiecircu chuẩn X509
- Chứng thư số của thuecirc bao tuacircn theo phiecircn bản 3 tiecircu chuẩn X509
712 Trường cơ bản
Về cơ bản chứng thư số do Cocircng ty cổ phần Chứng số An Toagraven cấp tuacircn thủ
theo tiecircu chuẩn X509 caacutec quy định tại nội dung về khuocircn dạng chứng thư số RFC
5280
Caacutec trường thocircng tin trong chứng thư số tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Serial number - Giacutea trị của trường nagravey lagrave duy nhất ứng với mỗi tecircn
Issue DN
- Quy tắc sinh ra tecircn serial number nagravey coacute thể theo thứ
tự hoặc theo nguyecircn tắc nhất định do Cocircng ty cổ phần
Chứng số An Toagraven đặt ra
Signature Algorithm - Số hiệu thuật toaacuten được sử dụng để kyacute chứng thư
Issue DN - Tecircn của chứng thư số
Valid From - Thời điểm coacute hiệu lực của chứng thư số (tuacircn thủ theo
tiecircu chuẩn RFC 5280)
Valid To - Thời điểm hết hiệu lực của chứng thư số (tuacircn thủ
theo tiecircu chuẩn RFC 5280)
Subject DN - Tecircn của thuecirc bao (tuacircn thủ theo tiecircu chuẩn RFC
5280)
Subject Public Key - Khoaacute cocircng cộng tương ứng với khoacutea biacute mật của
chứng thư số
713 Trường mở rộng
Caacutec trường mở rộng coacute thể coacute trong chứng thư số của Cocircng ty cổ phần Chứng
số An Toagraven vagrave thường phải coacute sự thoả thuận nhất triacute giữa thuecirc bao vagrave Cocircng ty
714 Caacutec thuật toaacuten kyacute
Caacutec thuật toaacuten sử dụng cho chứng tư số của Cocircng ty cổ phần Chứng số An
Toagraven bao gồm caacutec thuật toaacuten sau đacircy
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 41: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/41.jpg)
41
- sha-256WithRSAEncryption OBJECT IDENTIFIER = iso(1) member-
body(2) us (839) rsadsi (113549) pkcs-1(1)1
715 Khuocircng dạng tecircn
Tecircn trong chứng thư số của thuecirc bao được khởi tạo theo định dạng tiecircu chuẩn
X509
Tecircn trong chứng thư số coacute thể bao gồm caacutec thagravenh phần sau
- Phần tecircn chung (CN Common name) Thagravenh phần tecircn chung nagravey coacute thể lagrave
tecircn miền (nếu dugraveng cho maacutey chủ web server) hoặc tecircn tổ chứccaacute nhacircn
- Địa chỉ thư điện tử (Email)
- Địa chỉ liecircn hệ
- Quốc gia
- Một số thocircng tin khaacutec
716 Giới hạn tecircn
Tecircn trecircn chứng thư số phải đuacuteng với tecircn của thuecirc bao quy định tại caacutec giấy tờ
coacute giaacute trị phaacutep lyacute nhằm xaacutec định nhacircn thacircn của thuecirc bao
717 Định danh chiacutenh saacutech vagrave quy chế chứng thư số
Việc sử dụng chứng thư số phải tuacircn thủ theo caacutec quy định về chiacutenh saacutech vagrave
quy chế chứng thư số
718 Sử dụng ragraveng buộc mở rộng chiacutenh saacutech chứng thư số
Phần mở rộng về chiacutenh saacutech chứng thư số khocircng được sử dụng trong chứng
thư số của thuecirc bao
719 Cuacute phaacutep vagrave ngữ nghĩa của chiacutenh saacutech phacircn loại
Khocircng coacute quy định riecircng
7110 Xử lyacute ngữ nghĩa của caacutec trường mở rộng chiacutenh saacutech chứng thư số
Khocircng coacute quy định riecircng
72 Hồ sơ CRL
721 Số phiecircn bản của CRL
CRL của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo tiecircu chuẩn RFC 5280
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 42: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/42.jpg)
42
722 CRL vagrave caacutec trường mở rộng của CRL
a) Khuocircn dạng CRL
Về cơ bản khuocircn dạng thocircng tin trong danh saacutech CRL của Cocircng ty cổ phần
Chứng số An Toagraven tuacircn thủ theo tiecircu chuẩn X509 caacutec quy định tại nội dung về
khuocircn dạng chứng thư số RFC 5280
Caacutec trường thocircng tin trong CRL tối thiểu gồm caacutec thocircng tin sau
Tecircn trường Giaacute trị
Version - Mocirc tả phiecircn bản của CRL
Signature - Mocirc tả phương phaacutep nhận diện chữ kyacute số magrave SAFE-
CA sử dụng để kyacute vagraveo CRL
Issue - Trường thocircng tin về tecircn của SAFE-CA
Effective date - Trường thocircng tin về ngagravey cập nhật hiện tại của CRL
Next Update - Trường thocircng tin về ngagravey cập nhật tiếp theo (trong
tương lai) của CRL
Revoke Certificates - Trường thocircng tin về caacutec chứng thư số bị thu hồi
(serial number thời gian thu hồi lyacute do thu hồi hellip)
b) Caacutec trường mở rộng của CRL
- CRL number Số hiệu của CRL
- Authority key identifier Thocircng tin về khoacutea cocircng khai để xaacutec thực SAFE-CA
- Issuer alternative name Caacutec kiểu tecircn khaacutec của SAFE-CA (email tecircn miền)
- Certificate issuer Thocircng tin về CA phaacutet hagravenh (chỉ sử dụng trong trường hợp
SAFE-CA tiếp nhận quản lyacute chứng thư số từ một CA khaacutec)
73 Hồ sơ OCSP
731 Phiecircn bản
OCSP của Cocircng ty cổ phần Chứng số An Toagraven tuacircn theo phiecircn bản 1 của tiecircu
chuẩn RFC 2560
732 Trường cơ bản
OCSP lagrave giao thức cho pheacutep kiểm tra trạng thaacutei chứng thư số trực tuyến bao
gồm giao thức gửi yecircu cầu kiểm tra vagrave giao thức trả lời yecircu cầu
Caacutec trường thocircng tin cơ bản về gửi yecircu cầu kiểm tra bao gồm
- Protocol version phiecircn bản giao thức sử dụng
- Service request kiểu dịch vụ kiểm tra trạng thaacutei chứng thư số
- Target certificate identifier Mục điacutech kiểm tra
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 43: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/43.jpg)
43
- Caacutec yecircu cầu khaacutec
Caacutec trường thocircng tin cơ bản về trả lời yecircu cầu bao gồm
- Nội dung yecircu cầu kiểm tra
- Trạng thaacutei chứng thư số được kiểm tra
- Lyacute do thu hồi
- Caacutec nội dung khaacutec
733 Trường mở rộng
Khocircng coacute quy định cụ thể
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 44: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/44.jpg)
44
VIII KIỂM TOAacuteN MỨC TUAcircN THỦ VAgrave CAacuteC ĐAacuteNH GIAacute KHAacuteC
81 Tần suất vagrave caacutec tigravenh huống kiểm toaacuten kỹ thuật
Để đảm bảo an toagraven cho caacutec hoạt động cung cấp dịch vụ chứng thực chữ kyacute số
Cocircng ty cổ phần Chứng số An Toagraven sẽ định kỳ kiểm tra hệ thống kỹ thuật mỗi năm
một lần
82 Tổ thực hiện kiểm tra hệ thống kỹ thuật
Tổ thực hiện kiểm kiểm tra hệ thống kỹ thuật lagrave một becircn thứ 3 độc lập được
pheacutep thực hiện kiểm toaacuten kỹ thuật hoặc Tổ kiểm tra do Cocircng ty cổ phần Chứng số
An Toagraven thagravenh lập thocircng thạo về kỹ thụacirct hạ tầng khoacutea cocircng khai caacutec tiecircu chuẩn về
đảm bảo an toagraven an ninh thocircng tin
83 Caacutec nội dung kiểm toaacuten kỹ thuật
Nội dung kiểm toaacuten kỹ thuật hagraveng năm bao gồm caacutec thocircng tin liecircn quan đến
- Mocirci trường hoạt động của Cocircng ty
- Hệ thống kỹ thụacirct cung cấp dịch vụ của Cocircng ty
- Đaacutenh giaacute việc tuacircn thủ theo caacutec chuẩn của Cocircng ty
- Quy trigravenh quản lyacute cung cấp vagrave sử dụng chứng thư số của Cocircng ty
- Caacutec nội dung khaacutec
84 Xử lyacute khi phaacutet hiện sai soacutet
Sau khi coacute kết quả đaacutenh giaacute kiểm tra kỹ thụacirct nếu phaacutet hiện sai soacutet coacute nguy cơ
ảnh hưởng đến chất lượng dịch vụ Cocircng ty cổ phần Chứng số An Toagraven sẽ phải triển
khai ngay caacutec biện phaacutep khắc phục
Đối với caacutec sai soacutet nhỏ lẻ Cocircng ty cổ phần Chứng số An Toagraven sẽ xacircy dựng kế
hoạch triển khai hợp lyacute tuỳ theo mức độ sai soacutet vagrave ảnh hưởng đến dịch vụ quyền lợi
của khaacutech hagraveng
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 45: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/45.jpg)
45
IX CAacuteC NỘI DUNG NGHIỆP VỤ VAgrave PHAacuteP LYacute KHAacuteC
91 Phiacute
Caacutec loại phiacute lệ phiacute khi đăng kyacute sử dụng chứng thư số của Cocircng ty cổ phần
Chứng số An Toagraven bao gồm
- Lệ phiacute xin cấp mới chứng thư số
- Phiacute thay đổi cặp khoacutea
- Phiacute gia hạn chứng thư số
92 Traacutech nhiệm tagravei chiacutenh
Khi tiến hagravenh caacutec thủ tục xin cấp mới chứng thư số gia hạn chứng thư số hoặc
thay đổi khoacutea mới thuecirc bao coacute traacutech nhiệm nộp lệ phiacute khởi tạo vagrave phiacute duy trigrave theo
quy định của Cocircng ty cổ phần Chứng số An Toagraven
Căn cứ trecircn loại higravenh dịch vụ magrave thuecirc bao sử dụng Cocircng ty cổ phần Chứng số
An Toagraven sẽ mua bảo hiểm hoặc tự chịu traacutech nhiệm đối với thuecirc bao trong phạm vi
thoả thuận giữa thuecirc bao vagrave Cocircng ty vagrave theo quy định của phaacutep luật
93 Tiacutenh biacute mật của thocircng tin nghiệp vụ
931 Phạm vi caacutec thocircng tin biacute mật
Caacutec thocircng tin được đảm bảo biacute mật bao gồm
- Caacutec thocircng tin liecircn quan đến SAFE-CA trừ khoacutea cocircng khai
- Caacutec thocircng tin nhacircn thacircn của thuecirc bao
- Khoacutea biacute mật của thuecirc bao
- Caacutec dữ lịecircu chi tiết liecircn quan đến kiểm tra kỹ thuật
- Caacutec thocircng tin về đảm bảo an toagraven khắc phục sự cố thảm họa hellip
- Một số thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
932 Những thocircng tin ngoagravei phạm vi thocircng tin biacute mật
Caacutec thocircng tin về danh saacutech chứng thư số chứng thư số bị thu hồi trạng thaacutei
chứng thư số khocircng thuộc phạm vi thocircng tin biacute mật vagrave được cocircng bố cocircng khai bởi
Cocircng ty cổ phần Chứng số An Toagraven
933 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm đảm bảo biacute mật caacutec thocircng
tin biacute mật necircu tại điểm 931 khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 46: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/46.jpg)
46
yecircu cầu của cơ quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave
Cocircng ty cổ phần Chứng số An Toagraven
94 Tiacutenh riecircng tư của thocircng tin caacute nhacircn
941 Kế hoạch bảo mật thocircng tin caacute nhacircn
Cocircng ty cổ phần Chứng số An Toagraven sẽ đảm bảo biacute mật caacutec thocircng tin biacute mật caacute
nhacircn thuecirc bao khocircng được cung cấp cho becircn thứ 3 trừ trường hợp coacute yecircu cầu của cơ
quan nhagrave nước coacute thẩm quyền hoặc thoả thuận khaacutec giữa thuecirc bao vagrave Cocircng ty cổ phần
Chứng số An Toagraven
942 Phạm vi caacutec thocircng tin caacute nhacircn
Tất cả caacutec thocircng tin caacute nhacircn hoặc tổ chức được thuecirc bao cung cấp trong quaacute
trigravenh lagravem thủ tục cấp chứng thư số hay caacutec yecircu cầu khaacutec trong quaacute trigravenh quản lyacute sử
dụng chứng thư số được bảo vệ biacute mật
943 Những thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn
Caacutec thocircng tin ngoagravei phạm vi thocircng tin caacute nhacircn khocircng thuộc phạm vi phải bảo
vệ biacute mật bao gồm caacutec thocircng tin cocircng khai trecircn chứng thư số đatilde cấp cho thuecirc bao
hoặc caacutec thocircng tin khaacutec theo thoả thuận giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
944 Traacutech nhiệm bảo vệ caacutec thocircng tin biacute mật
Toagraven bộ caacuten bộ nhacircn viecircn tại caacutec bộ phận SAFE-CA RA SAFE-CA của Cocircng
ty cổ phần Chứng số An Toagraven khi tiếp nhận vagrave lưu trữ caacutec thocircng tin cung cấp từ thuecirc
bao coacute traacutech nhiệm xử lyacute theo đuacuteng quy trigravenh bảo đảm biacute mật thocircng tin của Cocircng ty
vagrave quy định của phaacutep luật Nghiecircm cấm việc cung cấp caacutec thocircng tin biacute mật cho becircn
thứ 3 vagrave Cocircng ty chỉ được cung cấp cho caacutec cơ quan nhagrave nước coacute thẩm quyền khi
được yecircu cầu
945 Thocircng baacuteo vagrave sự đồng thuận sử dụng thocircng tin mật
Việc sử dụng thocircng tin mật của thuecirc bao chỉ đựơc pheacutep khi coacute sự đồng yacute của
thuecirc bao hoặc thoả thuận giữa thuecirc bao vagrave Cocircng ty trong hợp đồng cung cấp dịch vụ
chứng thực chữ kyacute số
946 Cung cấp thocircng tin theo yecircu cầu của cơ quan phaacutep luật
Trong trường hợp coacute yecircu cầu cung cấp thocircng tin của cơ quan nhagrave nước coacute thẩm
quyền để phục vụ cho nhu cầu đảm bảo an toagraven an ninh hoặc theo quy định của phaacutep
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 47: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/47.jpg)
47
luật (togravea aacuten hellip) Cocircng ty cổ phần Chứng số An Toagraven coacute traacutech nhiệm phối hợp vagrave
cung cấp kịp thời đầy đủ caacutec thocircng tin biacute mật theo yecircu cầu
947 Caacutec tigravenh huống cung cấp thocircng tin khaacutec
Khocircng coacute quy định riecircng
95 Quyền sở hữu triacute tuệ
951 Quyền sở hữu những thocircng tin chứng thư số vagrave thu hồi
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ liecircn quan đến caacutec
chứng thư số magrave Cocircng ty đatilde cấp vagrave chứng thư số thu hồi
Cocircng ty cổ phần Chứng số An Toagraven được quyền sao cheacutep vagrave phacircn phối chứng
thư số magrave khocircng cần phải trả phiacute
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao cho pheacutep người nhận sử dụng
caacutec thocircng tin về tigravenh trạng thu hồi chứng thư số cũng như caacutec thocircng tin về khoacutea cocircng
khai của chứng thư số để thực hiện caacutec cocircng vịecircc theo thoả thuận của migravenh
952 Quyền sở hữu quy chế chứng thực
Cocircng ty cổ phần Chứng số An Toagraven coacute quyền sở hữu triacute tuệ đối với caacutec nội
dung vagrave bản thacircn Quy chế chứng thực nagravey
953 Quyền sở hữu tecircn
Thuecirc bao coacute quyền sở hữu đối với caacutec thương hiệu tecircn dịch vụ tecircn chứng thư
số Việc đăng kyacute vagrave thực hiện caacutec quyền sở hữu nagravey tuacircn thủ theo quy định của phaacutep
luật về sở hữu triacute tuệ
954 Quyền sở hữu khoacutea
Cặp khoacutea biacute mật vagrave cocircng khai tương ứng với chứng thư số của thuecirc bao thuộc
quyền sở hữu của Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao được bảo vệ theo
quy định của phaacutep luật về sở hữu triacute tuệ
96 Tuyecircn bố vagrave cam kết
961 Tuyecircn bố vagrave cam kết của CA
Bộ phận SAFE-CA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 48: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/48.jpg)
48
- Caacutec thocircng tin trecircn chứng thư số lagrave chiacutenh xaacutec so với caacutec thocircng tin do thuecirc bao
cung cấp
- Caacutec dịch vụ được cung cấp phugrave hợp với caacutec tiecircu chuẩn đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
962 Tuyecircn bố vagrave cam kết của RA
Bộ phận SAFE-CA RA tuyecircn bố vagrave cam kết
- Thực hiện caacutec quy định trong Quy chế chứng thực nagravey một caacutech nghiecircm tuacutec
chiacutenh xaacutec vagrave đảm bảo đuacuteng thời hạn
- Việc tiếp nhận vagrave xaacutec thực caacutec thocircng tin từ yecircu cầu của thuecirc bao một caacutech
nhanh choacuteng hiệu quả đảm bảo thời gian như đatilde cam kết
- Thực hiện đầy đủ caacutec cam kết thoả thuận khaacutec với thuecirc bao (nếu coacute trong
hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven)
963 Tuyecircn bố vagrave cam kết của thuecirc bao
Thuecirc bao tuyecircn bố vagrave cam kết
- Cung cấp đầy đủ chiacutenh xaacutec đuacuteng sự thật caacutec thocircng tin cho Cocircng ty cổ phần
Chứng số An Toagraven theo yecircu cầu
- Quản lyacute vagrave sử dụng chứng thư số đuacuteng quy định của phaacutep lụacirct Quy chế chứng
thực nagravey vagrave thoả thuận trong hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số
An Toagraven
- Cam kết bảo vệ khoaacute biacute mật thiết bị lưu trữ khoacutea biacute mật an toagraven vagrave thocircng tin
kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven trong trường hợp khoacutea biacute mật hoặc
thiết bị lưu trữ khoacutea biacute mật coacute nguy cơ bị xacircm hại
964 Tuyecircn bố vagrave cam kết của người nhận
Người nhận tuyecircn bố vagrave cam kết
- Sử dụng dịch vụ xaacutec thực trạng thaacutei chứng thư số đuacuteng theo quy định của
phaacutep luật của Cocircng ty cổ phần Chứng số An Toagraven vagrave Quy chế chứng thực nagravey
- Chịu traacutech nhiệm về việc tin tưởng caacutec thocircng tin trecircn chứng thư sử dụng cho
caacutec hoạt động của migravenh
965 Tuyecircn bố vagrave cam kết của caacutec đối tượng khaacutec
Khocircng coacute quy định riecircng
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 49: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/49.jpg)
49
97 Tuyecircn bố về sự đảm bảo
Cocircng ty cổ phần Chứng số An Toagraven vagrave thuecirc bao coacute traacutech nhiệm thực hiện đuacuteng
vagrave đầy đủ caacutec quyền vagrave nghĩa vụ traacutech nhiệm necircu ra trong hợp đồng giữa thuecirc bao
vagrave Cocircng ty cổ phần Chứng số An Toagraven
98 Giới hạn về traacutech nhiệm
Giới hạn về traacutech nhiệm phaacutep lyacute giữa Cocircng ty cổ phần Chứng số An Toagraven vagrave
thuecirc bao tuacircn thủ theo caacutec quy định của phaacutep luật vagrave Quy chế chứng thực nagravey
99 Bồi thường
Cocircng ty cổ phần Chứng số An Toagraven chịu traacutech nhiệm bồi thường cho thuecirc bao
vagrave người nhận trong trường hợp caacutec lỗi phaacutet sinh từ chiacutenh hệ thống của Cocircng ty cổ
phần Chứng số An Toagraven
Thuecirc bao coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
vagrave người nhận (nếu coacute giao dịch) khi xảy ra thiệt hại trong caacutec trường hợp sau
- Thuecirc bao sử dụng thocircng tin giả mạo để xin cấp chứng thư số
- Thuecirc bao để lộ khoacutea biacute mật hoặc mất thiết bị lưu trữ khoacutea biacute mật magrave khocircng
thocircng baacuteo kịp thời đến Cocircng ty cổ phần Chứng số An Toagraven
- Caacutec thocircng tin thuecirc bao sử dụng vi phạm caacutec quy định của phaacutep luật (sở hữu
triacute tuệ hellip)
Người nhận coacute traacutech nhiệm bồi thường cho Cocircng ty cổ phần Chứng số An Toagraven
trong trường hợp sử dụng khocircng đuacuteng phương phaacutep hoặc sử dụng sai mục điacutech caacutec
dịch vụ do Cocircng ty cổ phần Chứng số An Toagraven cấp gacircy thiệt hại hoặc phaacute huỷ dữ liệu
của Cocircng ty cổ phần Chứng số An Toagraven
910 Điều khoản vagrave sự kết thuacutec
9101 Thời hạn bắt đầu coacute hiệu lực
Quy chế chứng thực chữ kyacute số nagravey coacute hiệu lực bắt đầu từ thời điểm Cocircng ty cổ
phần Chứng số An Toagraven phecirc chuẩn vagrave ban hagravenh
Đối với caacutec phiecircn bản tiếp theo sẽ coacute hiệu lực kể từ thời điểm Cocircng ty cổ phần
Chứng số An Toagraven cocircng bố cocircng khai trecircn website hoặc cơ sở dữ liệu cocircng khai của
Cocircng ty
9102 Thời hạn hết hiệu lực
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 50: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/50.jpg)
50
Quy chế chứng thực chữ kyacute số nagravey sẽ hết hiệu lực khi coacute một văn bản hoặc
thocircng baacuteo chấm dứt hiệu lực
9103 Ảnh hưởng của quy chế chứng thư số hết hiệu lực
Khi Quy chế chứng thực chữ kyacute số hết hịecircu lực caacutec nội dung triển khai trong
hệ thống cung cấp dịch vụ chứng thực chữ kyacute số của Cocircng ty cổ phần Chứng số An
Toagraven vẫn được đảm bảo coacute hiệu lực vagrave kế thừa trong Quy chế mới
911 Thocircng baacuteo cho thuecirc bao vagrave liecircn lạc với caacutec becircn coacute tham gia
Trong trường hợp coacute sự thay đổi về Quy chế chứng thực chữ kyacute số Cocircng ty cổ
phần Chứng số An Toagraven sẽ thocircng baacuteo cho thuecirc bao vagrave caacutec becircn coacute liecircn quan về caacutec
nội dung sẽ thay đổi thocircng qua caacutec phương tiện liecircn lạc như điện thoại thư điện tử
email qua website của Cocircng ty hellip
912 Thay đổi Quy chế chứng thực
9121 Thủ tục bổ sung
Caacutec nội dung bổ sung Quy chế chứng thực sẽ được bộ phận phaacutep chế của Cocircng
ty cổ phần Chứng số An Toagraven thực hiện sau đoacute baacuteo caacuteo Latildenh đạo Cocircng ty vagrave bộ phận
dịch vụ sẽ đaacutenh giaacute taacutec động đến dịch vụ hiện tại vagrave Latildenh đạo Cocircng ty sẽ họp xem
xeacutet quyết định ban hagravenh
9122 Cơ chế vagrave thời hạn thocircng baacuteo
- Caacutec nội dung sửa đổi trong Quy chế chứng thực nhằm mục điacutech nacircng cao hơn
nữa việc bảo đảm an toagraven cho dịch vụ quyền lợi của thuecirc bao
- Caacutec nội dung nagravey sẽ được lấy yacute kiến rộng ratildei của thuecirc bao
- Để đảm bảo quyền lợi cho thuecirc bao Quy chế mới sẽ được gửi đến thuecirc bao
vagrave đăng tải trecircn website của Cocircng ty cổ phần Chứng số An Toagraven vagrave trong thời gian
15 ngagravey lagravem việc nếu khocircng cần thiết coacute sự thay đổi nagraveo thigrave Quy chế sẽ coacute hiệu lực
913 Giải quyết caacutec bất đồng tranh chấp
Việc giải quyết bất đồng tranh chấp giữa Cocircng ty cổ phần Chứng số An Toagraven
với thuecirc bao người nhận tuacircn thủ theo caacutec nội dung quy định tại Quy chế chứng thực
nagravey vagrave caacutec quy định của phaacutep luật coacute liecircn quan
Quy trigravenh giải quyết bất đồng tranh chấp được thực hiện theo trigravenh tự thương
lượng hogravea giải vagrave toagrave aacuten kinh tế
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 51: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/51.jpg)
51
914 Luật điều chỉnh
Hệ thống phaacutep luật điều chỉnh lagrave toagraven bộ hệ thống phaacutep luật của nước Cộng
hogravea Xatilde hội chủ nghĩa Việt Nam
Hệ thống phaacutep luật chiacutenh coacute liecircn quan bao gồm
- Luật giao dịch điện tử
- Luật cocircng nghệ thocircng tin
- Lụacirct viễn thocircng
- Luật thương mại
- Luật doanh nghiệp
- hellip
915 Tiacutenh tuacircn thủ với caacutec luật phaacutep được aacutep dụng
Trong trường hợp nội dung cần xử lyacute được quy định tại caacutec điều ước magrave Việt
Nam đatilde kyacute kết hoặc tham gia thigrave ưu tiecircn aacutep dụng caacutec điều ước nagravey
Caacutec cam kết hợp đồng giữa thuecirc bao vagrave Cocircng ty cổ phần Chứng số An Toagraven
được xacircy dựng dựa trecircn caacutec quy định của phaacutep lụacirct Việt Nam
916 Điều khoản chung
Cocircng ty cổ phần Chứng số An Toagraven thuecirc bao vagrave người nhận khi tham gia quản
lyacute cung cấp vagrave sử dụng dịch vụ chứng thực chữ kyacute số do Cocircng ty cổ phần Chứng số
An Toagraven cung cấp đều phải tuacircn thủ nghiecircm caacutec quy định của phaacutep luật về dịch vụ
chứng thực chữ kyacute số caacutec quy định tại Quy chế chứng thực nagravey vagrave caacutec điều khoản
trong hợp đồng giữa Cocircng ty cổ phần Chứng số An Toagraven với thuecirc bao
917 Điều khoản khaacutec
Khocircng coacute quy định riecircng
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 52: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/52.jpg)
52
X TAgraveI LIỆU THAM CHIẾU
101 Tiecircu chuẩn aacutep dụng
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
1 Tiecircu chuẩn bảo mật cho HSM vagrave thẻ mật matilde
11 Yecircu cầu an
ninh đối với
khối an ninh
phần cứng
HSM
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 3
(level 3)
FIPS PUB 140-2
Level 3
12 Yecircu cầu an
ninh đối với
thẻ Token
vagrave Smart
card
FIPS PUB
140-2
Security Requirements
for Cryptographic
Modules
- Yecircu cầu tối
thiểu mức 2
(level 2)
FIPS PUB 140-2
Level 2
2 Tiecircu chuẩn mật matilde vagrave chữ kyacute số
21 Mật matilde phi
đối xứng vagrave
chữ kyacute số
PKCS 1 RSA Cryptography
Standard
- Phiecircn bản 21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS để
kyacute
- PKCS 1v21
- Aacutep dụng lược
đồ
RSAES-OAEP
để matilde hoaacute vagrave
RSASSA-PSS
để kyacute
22 Mật matilde đối
xứng
TCVN
78162007
(FIPS PUB
197)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Thuật
toaacuten matilde hoacutea dữ liệu AES
Aacutep dụng một
trong hai tiecircu
chuẩn
FIPS PUB 197
Aacutep dụng 3DES
NIST 800-
67
Recommendation for the
Triple Data Encryption
Algorithem (TDEA)
Block Cipher
23 Hagravem băm
an toagraven
FIPS PUB
180-4
Secure Hash Standard Aacutep dụng một
trong saacuteu hagravem
băm SHA-224
SHA-256
SHA-384
SHA-512
SHA-512224
SHA-512256
Aacutep dụng hagravem
băm an toagraven
SHA-2
3 Tiecircu chuẩn thocircng tin dữ liệu
31 Định dạng
chứng thư
số vagrave danh
saacutech thu hồi
chứng thư
số
RFC 5280 Internet X509 Public
Key Infrastructure
Certificate and
Certificate Revocation
List (CRL) Profile
RFC 5280
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 53: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/53.jpg)
53
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
32 Cuacute phaacutep
thocircng điệp
mật matilde
PKCS 7 Cryptographic Message
Syntax Standard
Phiecircn bản 15 PKCS 7 v15
33 Cuacute phaacutep
thocircng tin
khoacutea riecircng
PKCS 8 Private-Key Information
Syntax Standard
Phiecircn bản 12 PKCS 8 v12
34 Cuacute phaacutep yecircu
cầu chứng
thực
PCKS 10 Certification Request
Syntax Standard
Phiecircn bản 17 PCKS 10 v17
35
Giao diện
giao tiếp với
caacutec thẻ mật
matilde
PKCS 11 Cryptographic token
interface standard
Phiecircn bản 220 PKCS 11 v22
36
Cuacute phaacutep
trao đổi
thocircng tin caacute
nhacircn
PKCS 12 Personal Information
Exchange Syntax
Standard
Phiecircn bản 10 PKCS 12 v10
4 Tiecircu chuẩn chiacutenh saacutech vagrave quy chế chứng thực chữ kyacute số
Khung quy
chế chứng
thực vagrave
chiacutenh saacutech
chứng thư
RFC 3647 Internet X509 Public
Key Infrastructure -
Certificate Policy and
Certification Practices
Framework
RFC 3647
5 Tiecircu chuẩn giao thức lưu trữ vagrave truy xuất chứng thư số
51
Lược đồ
Giao thức
truy nhập
thư mục
RFC 2587
Internet X509 Public
Key Infrastructure
LDAPv2 Schema
Aacutep dụng một
trong hai tiecircu
chuẩn
RFC 2587
LDAP v2
RFC 4523 Lightweight Directory
Access Protocol (LDAP)
Schema Definitions for
X509 Certificates
52 Giao thức
truy nhập
thư mục
RFC 2251 Lightweight Directory
Access Protocol (v3)
Aacutep dụng tiecircu
chuẩn RFC 2251
hoặc bộ bốn tiecircu
chuẩn
RFC 4510
RFC 4511
RFC 4512
RFC 4513
RFC 2251
LDAP v3
RFC 4510 Lightweight Directory
Access Protocol
(LDAP) Technical
Specification Road Map
RFC 4511 Lightweight Directory
Access Protocol
(LDAP) The Protocol
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 54: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/54.jpg)
54
Số
TT
Loại
tiecircu chuẩn
Kyacute hiệu
tiecircu chuẩn
Tecircn đầy đủ
của tiecircu chuẩn
Quy định
aacutep dụng
SAFE-CA sử
dụng
RFC 4512 Lightweight Directory
Access Protocol
(LDAP) Directory
Information Models
RFC 4513
Lightweight Directory
Access Protocol
(LDAP) Authentication
Methods and Security
Mechanisms
6 Tiecircu chuẩn kiểm tra trạng thaacutei chứng thư số
61 Giao thức
truyền nhận
chứng thư
số vagrave danh
saacutech chứng
thư số bị thu
hồi
RFC 2585 Internet X509 Public
Key Infrastructure -
Operational Protocols
FTP and HTTP
Aacutep dụng một
hoặc cả hai giao
thức FTP vagrave
HTTP
CRL giao thức
HTTP
62 Giao thức
cho kiểm tra
trạng thaacutei
chứng thư
số trực
tuyến
RFC 2560 X509 Internet Public
Key Infrastructure - On-
line Certificate status
protocol
OCSP giao
thức HTTP
7 Tiecircu chuẩn dịch vụ cấp dấu thời gian
71
Giao thức
cấp dấu thời
gian
RFC 3161
Internet X509 Public
Key Infrastructure -
Time-Stamp Protocol
(TSP)
RFC 3161
72 Dịch vụ cấp
dấu thời
gian
TCVN
7818-
12007
(ISOIEC
18014-
12002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
1 Khung tổng quaacutet
Aacutep dụng bộ ba
tiecircu chuẩn
TCVN 7818-
12007
TCVN 7818-
22007
TCVN 7818-
32010
Khocircng cung cấp
dịch vụ cấp dấu thời gian
TCVN
7818-
22007
(ISOIEC
18014 -
2 2002)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
2 Cơ chế tạo thẻ độc lập
TCVN
7818-
32010
(ISOIEC
18014-
3 2009)
Cocircng nghệ thocircng tin -
Kỹ thuật mật matilde - Dịch
vụ tem thời gian - Phần
3 Cơ chế tạo thẻ liecircn kết
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng
![Page 55: QUY CHẾ CHỨNG THỰC - safecert.com.vn · Hồ Chí Minh, Ngày 12 tháng 06 năm 2017 Giám đốc Huỳnh Tấn Ngà ... Kiểm tra nhận dạng của người đại diện](https://reader033.vdocuments.site/reader033/viewer/2022041415/5e1b00c81008d73d6c41f780/html5/thumbnails/55.jpg)
55
102 Caacutec địa chỉ lưu trữ trực tuyến
STT Liecircn kết Mocirc tả
1 wwwSAFEcertcomvn Trang web chiacutenh của SAFE-CA
2 httpwwwsafecertcomvnwwwhomesearchs
ca
Tra cứu Chứng thư số của thuecirc bao
3 httpwwwsafecertcomvnwwwmediadownlo
adCPS_websitepdf
Xem vagrave tải về Quy chế chứng thực
CPS dịch vụ chứng thực chữ kyacute số
cocircng cộng SAFE-CA
4 httpwwwsafecertcomvnwwwhometermsof
usesca
Điều kiện vagrave điều khoản sử dụng
5 httpcrlsafecertcomvn
Danh saacutech Chứng thư số thị thu hồi
CRL
6 httpocspsafecertcomvn
Kiểm tra trạng thaacutei chứng thư số
trực tuyến OCSP
7 httpwwwsafecertcomvnwwwcertSAFE-
CAcer Chứng thư số của SAFE-CA
8 httpwwwsafecertcomvnwwwhomedownloa
dsca Caacutec hướng dẫn tagravei liệu hợp đồng