Lộ trình áp dụng
Trừ trường hợp tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng lựa chọn áp dụng quy định của Luật Giao dịch điện tử số 20/2023/QH15, các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng đang hoạt động hợp pháp có trách nhiệm rà soát, nâng cấp hệ thống thông tin và đội ngũ nhân lực quản lý và kỹ thuật đáp ứng quy định tại QCVN 138:2025/BKHCN trước ngày 10/4/2027.
Hiệu lực thi hành và điều khoản chuyển tiếp
Thông tư số 51/2025/TT-BKHCN sẽ chính thức có hiệu lực từ ngày 01/7/2026. Các quy định dưới đây được bãi bỏ kể từ ngày Thông tư này có hiệu lực thi hành:
- Thông tư số 06/2015/TT-BTTTT ngày 23/3/2015 của Bộ trưởng Bộ Thông tin và Truyền thông quy định danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số.
- Thông tư số 16/2019/TT-BTTTT ngày 05/12/2019 của Bộ trưởng Bộ Thông tin và Truyền thông quy định danh mục tiêu chuẩn bắt buộc áp dụng về chữ ký số và dịch vụ chứng thực chữ ký số theo mô hình ký số trên thiết bị di động và ký số từ xa.
Hồ sơ đề nghị cấp Giấy phép cung cấp dịch vụ cấp dấu thời gian đã nộp cho cơ quan nhà nước có thẩm quyền nhưng đến ngày Thông tư này có hiệu lực thi hành chưa được cấp giấy phép thì được tiếp tục áp dụng quy định của Thông tư số 06/2015/TT-BTTTT và Thông tư số 16/2019/TT-BTTTT.
Phạm vi điều chỉnh và đối tượng áp dụng
Quy chuẩn này quy định các yêu cầu kỹ thuật về dịch vụ cấp dấu thời gian cũng như yêu cầu về quy trình vận hành và kiểm soát đối với tổ chức cung cấp dịch vụ dấu thời gian.
Quy chuẩn được áp dụng cho Tổ chức cung cấp dịch vụ cấp dấu thời gian, các tổ chức, cá nhân có liên quan đến cung cấp dịch vụ cấp dấu thời gian tại Việt Nam. Mặt khác, Quy chuẩn không áp dụng cho Tổ chức cung cấp dịch vụ cấp dấu thời gian chuyên dùng công vụ.
Làm rõ một số khái niệm
Quy chuẩn giải thích các từ ngữ và khái niệm chuyên ngành như sau:
- Dịch vụ cấp dấu thời gian: Dịch vụ do tổ chức cung cấp dịch vụ tin cậy thực hiện nhằm cấp dấu thời gian điện tử cho thông điệp dữ liệu, chứng minh thông điệp dữ liệu đã tồn tại tại một thời điểm xác định và kể từ thời điểm đó chưa bị thay đổi.
- Dấu thời gian (Time-stamp token): Thông điệp dữ liệu được ký số bởi tổ chức cung cấp dịch vụ cấp dấu thời gian, chứa giá trị băm của thông điệp dữ liệu gốc, thời điểm chính xác và các thông tin cần thiết khác nhằm chứng minh sự tồn tại và tính toàn vẹn của thông điệp dữ liệu tại thời điểm đó.
- Thời điểm cấp dấu thời gian: Thời điểm chính xác được ghi nhận trong dấu thời gian, được lấy từ nguồn thời gian đáng tin cậy và được bảo vệ bằng chữ ký số của tổ chức cung cấp dịch vụ cấp dấu thời gian.
- Thiết bị bảo mật phần cứng: Thiết bị phần cứng chuyên dụng (Hardware Security Module - HSM) dùng để tạo, lưu trữ và quản lý khóa bí mật của tổ chức cung cấp dịch vụ tin cậy, bao gồm tổ chức cung cấp dịch vụ cấp dấu thời gian, đáp ứng các yêu cầu bảo mật cao.
- Khóa bí mật của tổ chức cung cấp dịch vụ cấp dấu thời gian: Khóa bí mật trong cặp khóa bất đối xứng thuộc quyền kiểm soát duy nhất của tổ chức cung cấp dịch vụ cấp dấu thời gian, được sử dụng để tạo chữ ký số lên dấu thời gian.
- Nguồn thời gian đáng tin cậy: Nguồn cung cấp thời gian chính xác, có khả năng truy xuất và đồng bộ với thời gian quốc gia hoặc nguồn thời gian chuẩn quốc tế, được bảo vệ chống can thiệp.
- Kiểm toán kỹ thuật: Hoạt động đánh giá độc lập, khách quan đối với hệ thống thông tin, quy trình cung cấp dịch vụ nhằm xác định việc đáp ứng tiêu chuẩn kỹ thuật bắt buộc áp dụng, quy chuẩn kỹ thuật, yêu cầu kỹ thuật của chữ ký điện tử bảo đảm an toàn, chứng thư chữ ký điện tử bảo đảm an toàn, chữ ký số, chứng thư chữ ký số và dịch vụ tin cậy. Trong đó, tiêu chuẩn kỹ thuật bắt buộc áp dụng khi được viện dẫn trong quy chuẩn kỹ thuật hoặc văn bản quy phạm pháp luật.
- Tổ chức kiểm toán kỹ thuật: Tổ chức chứng nhận được chỉ định theo quy định của pháp luật về tiêu chuẩn, quy chuẩn kỹ thuật, chất lượng sản phẩm, hàng hóa.
Quy định về quản lý
Phương thức đánh giá sự phù hợp đối với các yêu cầu tại mục 2.2 (Yêu cầu về quy trình vận hành và kiểm soát) của Quy chuẩn thực hiện theo phương thức 6 (đánh giá hệ thống quản lý) theo quy định tại Thông tư 28/2012/TT-BKHCN ngày 12/12/2012 quy định về công bố hợp chuẩn, công bố hợp quy và phương thức đánh giá sự phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật và Thông tư 19/2025/TT-ВKHCN ngày 06/10/2025 quy định kiểm toán kỹ thuật với chữ ký điện tử dịch vụ tin cậy.
Tổ chức cung cấp dịch vụ cấp dấu thời gian thuộc phạm vi điều chỉnh của Thông tư thực hiện công bố hợp quy theo quy định và chịu sự kiểm tra của các cơ quan quản lý nhà nước theo các quy định tại Thông tư 28/2012/TT-BKHCN ngày 12/12/2012 quy định về công bố hợp chuẩn, công bố hợp quy và phương thức đánh giá sự phù hợp với tiêu chuẩn, quy chuẩn kỹ thuật; Thông tư 19/2025/TT-BKHCN ngày 06/10/2025 quy định kiểm toán kỹ thuật đối với chữ ký điện tử và dịch vụ tin cậy và các quy định hiện hành.
Trách nhiệm của tổ chức và cá nhân
Tổ chức đánh giá sự phù hợp và Tổ chức cung cấp dịch vụ cấp dấu thời gian có trách nhiệm lưu trữ hồ sơ chứng nhận theo quy định tại Thông tư số 03/2025/TT-BKHCN ngày 15/5/2025 của Bộ trưởng Bộ Khoa học và Công nghệ quy định thời hạn lưu trữ hồ sơ, tài liệu ngành Khoa học và Công nghệ.
Bên cạnh đó, Tổ chức đánh giá sự phù hợp cần thực hiện đánh giá sự phù hợp theo đúng quy định của Quy chuẩn này và thực hiện các nghĩa vụ báo cáo kết quả hoạt động đánh giá chứng nhận hợp quy đến Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia theo các quy định hiện hành.