Thái Bình, tháng 5 năm 2019

Trung tâm Chứng thực điện tử Quốc gia - NEAC

Định danh điện tử ◦ Định danh điện tử là đại diện duy nhất của một đối tượng (người/thực

thể) với tập hợp dữ liệu thuộc tính đủ chi tiết để mô tả được đối

tượng đó là duy nhất khi tham gia vào một giao dịch điện tử trong một

ngữ cảnh nhất định như chính phủ điện tử, thương mại điện tử.

Xác thực (định danh) điện tử ◦ Xác thực điện tử là quy trình về thiết lập sự tin cậy của định danh

người dùng bằng phương tiện điện tử đối với một hệ thống thông tin.

Nói cách khác: là việc xác thực thông tin định danh của người trình

diện (vd: login vào cổng dịch vụ công chẳng hạn) và xác minh xem

các thông tin, dữ liệu thuộc tính đó có đúng với thông tin, dẽ liệu của

định danh về người đó đã được đăng ký và lưu trữ trong hệ thống

quản lý định danh hay không.

◦ Phương thức xác thực: username/password; mật khẩu một lần

OTP/Smart OTP, sinh trắc học (biometrics), chữ ký số.

Xác thực nội bộ

Xác thực bên ngoài

Mô hình xác thực tập trung

Mô hình xác thực liên minh/liên

thông

Mô hình phân tán

Hiện trạng: Chưa có quy định về định danh, xác thực điện tử

Nghị quyết 17/NQ-CP ngày 7/3/2019

Giao Bộ TTTT xây dựng Nghị định về định danh và xác thực

The National Strategy for Trusted Identities in Cyberspace - 2011

An industry Project of the Financial Services Community

Samia Melhem, Global Lead, Digital Development, The World Bank Group

Digital ID Platform connects among RP, IdP and AS

Phạm vi Nghị định sẽ điều chỉnh

Future: CSDL QG về Dân cư

Verifiers

Người dân

Doanh nghiệp

Web/PC

App/Mobile

Nền tảng Trung gian

Cơ quan quản lý Pháp lý/chính sách Tiêu chuẩn/quy chuẩn

AS: Y tế/Giáo dục/Others

SP/RP SP/RP SPs/RPs

IdP IdP Cung cấp định danh

Nghị định sẽ pháp lý hóa “định danh pháp lý” của người

dùng, pháp nhân (tổ chức) thông qua quy trình để trở thành

“định danh điện tử có pháp lý” phục vụ cho việc giao dịch

điện tử trên mạng (những giao dịch được pháp luật bảo vệ).

Với hiện trạng Việt Nam hiện nay, Nghị định xác định các

bên tham gia hệ thống cung cấp dịch vụ đinh danh và xác

thực điện tử (người dùng, nhà cung cấp định danh, ứng

dụng/dịch vụ, xác thực/nền tảng trung gian).

Cơ quan nhà nước sẽ quy định:

◦ Các chính sách, điều kiện, tiêu chuẩn, quy chuẩn kỹ thuật và vận hành

cho từng đối tượng, hệ thống: định danh điện tử, nhà cung cấp định

danh, bên ứng dụng/dịch vụ, các loại hình xác thực điện tử, xác

thực/nền tảng trung gian và người sử dụng

◦ Thiết lập các mức bảo đảm tiêu chuẩn.

1. Quy định chung

2. Quy định về định danh điện tử

3. Quy định về xác thực điện tử

4. Quy định về dịch vụ định danh/xác thực định danh

điện tử.

5. Quy định đối với ứng dụng dịch vụ định danh/xác

thực điện tử

6. Các điều kiện, tiêu chuẩn, quy chuẩn

7. Phản ứng và phục hồi định danh/dịch vụ

8. Tổ chức thực hiện

Quy định về định danh điện tử, các nội dung: ◦ Đăng ký, thiết lập định danh điện tử,

◦ Cách thức xác minh định danh để được chấp nhận

thành một định danh điện tử trong hệ thống;

◦ Quản lý, cập nhật, hủy bỏ định danh điện tử và thông tin

về định danh điện tử (khi nào cập nhật, điều kiện gì,

trình tự thủ tục), khi nào hủy bỏ (điều kiện hủy bỏ, trình

tự hủy bỏ, thời gian…).

Quy định về các mức độ bảo đảm an toàn của

định danh điện tử.

Quy định việc chia sẻ thông tin về dữ liệu định

danh điện tử

Quy định chung về việc xác thực định danh điện

tử ◦ Phân loại các loại hình xác thực điện tử;

◦ Các yêu cầu đối với từng loại hình xác thực điện tử;

◦ Mức độ đảm bảo xác thực điện tử

Quy định, yêu cầu riêng cho từng môi trường

xác thực điện tử ◦ Web/mobile/cloud

Quy trình xác thực điện tử, ◦ Quy định workflow của thông tin xác thực được mã

hóa giữa các bên

Quy định về điều kiện: ◦ Pháp nhân, kỹ thuật, công nghệ, an toàn bảo mật, nhân

sự cần thiết, quy trình vận hành của tổ chức đủ điều

kiện cung cấp dịch vụ định danh và xác thực định danh

điện tử

◦ Các nguồn dữ liệu định danh dùng để xác thực;

◦ Các yêu cầu kỹ thuật, an toàn bảo mật, các loại thông

tin lưu trữ thông tin định danh, giao dịch điện tử đối với

các nền tảng hoặc hạ tầng trung gian xác thực định

danh điện tử phục vụ cho giao dịch dịch điện tử.

◦ Yêu cầu kỹ thuật, yêu cầu chức năng, bảo mật của hệ

thống quản lý định danh điện tử

Quy định về kỹ thuật, công nghệ, quy trình:

◦ Quy định về các yêu cầu kỹ thuật, công nghệ đối với hệ

thống thông tin của bên ứng dụng liên quan đến việc

xác thực định danh điện tử.

◦ Có nhiều mức độ xác thực, nhiều loại hình dịch vụ nên

đối với từng dịch vụ cũng có thể quy định riêng (ví dụ

cho dịch vụ công cần có quy định riêng).

Quy định này nhằm đảm bảo việc xác thực định danh điện tử đúng trình

tự, kỹ thuật, công nghệ và giao tiếp được giữa các hệ thống thông tin.

Bên cạnh đó các thông tin lưu trữ đảm bảo cho việc kiểm tra, kiểm toán

hoặc giải quyết kiếu nại liên quan đến trách nhiệm cũng như các hoạt

động của người dùng khi tham gia vaò hệ thống ứng dụng/dịch vụ

Trong các hệ thống xác thực định danh điện tử có

nhiều thành phần, nhiều công đoạn giao tiếp của các

hệ thống, nhiều môi trường giao dịch, do đó, để có thể

vận hành trơn tru, liên thông được giữa các hệ thống

thì cần có các quy định về tiêu chuẩn, quy chuẩn cụ

thể và đồng bộ.

Quy định các tiêu chuẩn, quy chuẩn kỹ thuật cho dữ liệu, an

toàn bảo mật, các hệ thống thông tin; tiêu chuẩn, quy chuẩn

vận hành, tiêu chuẩn giải quyết sự cố… của các tổ chức

cung cấp dịch vụ định danh điện tử và bên ứng dụng

Phạm vi, đối tượng điều chỉnh của Nghị định:

- Chỉ quy định về định danh, xác thực điện tử đối với giao

dịch điện tử của cơ quan nhà nước?

- Quy định về định danh, xác thực điện tử cả giao dịch

điện tử của cơ quan nhà nước, của các doanh nghiệp

cung cấp dịch vụ online?

Mô hình tập trung hay mô hình liên thông?

- Nên có nhiều nhà cung cấp dịch vụ định danh điện tử?

- Nên có nhiều nhà cung cấp dịch vụ xác thực hay nên chỉ

tập trung 1 cổng duy nhất?

Các nội dung khác

Xin trân trọng cảm ơn!

Phạm Quốc Hoàn

Trung tâm Chứng thực điện tử Quốc gia

Tel: 024.36882333/091 336 2858

website: www.neac.gov.vn