Ý kiến của VCDC về nhận định của Hiệp hội Ngân hàng về chữ ký số và dịch vụ chứng thực chữ ký số công cộng. - Bkav Corporation - remotesigning.bkavca.vn
Căn cứ văn bản số 447/NEAC-TTCS ngày 10/07/2024 của Trung tâm chứng thực điện tử Quốc gia (NEAC) về việc V/v cho ý kiến đối với nhận định của Hiệp hội Ngân hàng về chữ ký số và dịch vụ chứng thực chữ ký số công cộng;
Tiếp theo văn bản số 15062024/CV-VCDC ngày 15/06/2024 của CLB chữ ký số và giao dịch điện tử về việc cam kết khả năng đáp ứng của CA công cộng trong các giao dịch điện tử sử dụng chữ ký số;
Chữ ký số công cộng được triển khai tại Việt Nam từ năm 2009. Với 15 năm đồng hành cùng sự phát triển trong giao dịch điện tử ở tất cả các lĩnh vực: kinh tế, chính trị, xã hội,… của Quốc gia. Chữ ký số công cộng đã và đang là giải pháp xác thực an toàn, hiệu quả trong các giao dịch kê khai thuế, bảo hiểm xã hội, phát hành hóa đơn điện tử, đấu thầu qua mạng, giao dịch hành chính công, ngân hàng, tài chính, chứng khoán, hợp đồng …
Đối với lĩnh vực tài chính, ngân hàng thời gian qua đã phát sinh rất nhiều trường hợp chủ tài khoản bị các đối tượng giả mạo, lừa đảo, chiếm đoạt tiền trong tài khoản thông qua nhiều hình thức, trong đó việc xác thực các giao dịch chuyển tiền, thanh toán bằng các biện pháp phổ thông (Mật khẩu, OTP,…) bộc lộ nhiều rủi ro. Vì vậy, để đảm bảo an toàn trong các giao dịch thanh toán, Ngân hàng nhà nước đã có Quyết định 2345/QĐ-NHNN năm 2023 hiệu lực từ 01/07/2024 về triển khai các giải pháp an toàn, bảo mật trong thanh toán trực tuyến và thanh toán thẻ ngân hàng trong đó Chữ ký điện tử an toàn là một trong các biện pháp xác thực với Giao dịch loại D (loại cao nhất trong 04 loại giao dịch) và có thể được sử dụng trong tất cả các giao dịch loại A, B, C. Điều đó khẳng định việc áp dụng chữ ký điện tử an toàn là vô cùng cần thiết trong các giao dịch đặc biệt là giao dịch tài chính, ngân hàng trên môi trường điện tử.
Đối với các vướng mắc được đưa ra từ phía Hiệp hội ngân hàng, Câu lạc bộ Chữ ký số và giao dịch điện tử (VCDC) và các CA công cộng xin được báo cáo NEAC – Bộ TT&TT như sau:
- Về chi phí đăng ký, cấp và duy trì hiệu lực của chữ ký số
Thứ nhất, với khách hàng Tổ chức – Doanh nghiệp (TC-DN): 100% TC-DN đang hoạt động đều đã có sử dụng ít nhất 01 chữ ký số công cộng đại diện cho TC-DN để thực hiện các giao dịch điện tử: Kê khai thuế, hải quan, bảo hiểm xã hội, phát hành hóa đơn điện tử, ký kết hợp đồng điện tử, giao dịch ngân hàng… Việc chỉ sử dụng 01 chữ ký số công cộng cho toàn bộ các giao dịch điện tử đã giúp doanh nghiệp tiết kiệm rất nhiều chi phí, thời gian, nhân sự. Vì vậy, việc phải sử dụng 01 chữ ký số chuyên dùng đảm bảo an toàn chỉ để giao dịch với 01 hệ thống/ứng dụng của 01 ngân hàng là vô cùng lãng phí và thiếu hiệu quả. Giả sử mỗi hệ thống giao dịch TC-DN phải sử dụng riêng 01 chữ ký điện tử chuyên dùng thì chi phí phải bỏ ra gồm chi phí khởi tạo, duy trì, chi phí quản lý của mỗi doanh nghiệp sẽ tăng gấp nhiều lần so với việc chỉ sử dụng 01 chữ ký số công cộng cho mọi giao dịch phát sinh của TC-DN.
Thứ hai, với khách hàng cá nhân việc đăng ký và sở hữu 01 chữ ký số công cộng đang vô cùng dễ dàng, thuận tiện đặc biệt là không phát sinh bất kỳ một chi phí đăng ký, chi phí duy trì hiệu lực của chữ ký số nào dành cho cá nhân. Chi phí sử dụng dịch vụ được các nhà cung cấp đưa ra theo nhu cầu sử dụng đặc thù của mỗi đối tượng khách hàng với đa dạng các hình thức cung cấp dịch vụ: hình thức sử dụng thuê bao trọn gói không giới hạn lượt ký và ứng dụng ký có giá chỉ từ 5.000 VNĐ/tháng; hình thức theo lượt ký khi có phát sinh nhu cầu ký số với giá chỉ từ 1.000 VNĐ/lượt ký. Mức phí này thấp hơn rất nhiều lần so với các chi phí trong lĩnh vực ngân hàng: phí duy trì tài khoản; phí thường niên; phí quản lý tài khoản (SMS/Internet Banking); phí chuyển tiền, rút tiền; phí giao dịch nước ngoài;… và có thể được sử dụng để thay thế các phương thức xác thực khác. Đặc biệt, mỗi công dân chỉ phải sở hữu và quản lý 01 chữ ký số công cộng duy nhất cho mọi hoạt động giao dịch giúp quản lý và theo dõi được các giao dịch một cách thuận tiện, an toàn, tiết kiệm tối đa chi phí và tối ưu trải nghiệm. Đến tháng 07/2024, theo chủ trương của Chính phủ và Bộ TTTT, các CA công cộng đã cấp miễn phí hàng triệu chữ ký số cá nhân cho người dân ký dịch vụ công, tiến tới bao phủ 50% dân số trưởng thành vào năm 2025 và 80% vào năm 2030.
Thứ ba, để xây dựng, quản lý, vận hành 01 hệ thống chữ ký chuyên dùng đảm bảo an toàn các ngân hàng sẽ phải đầu tư chi phí lớn về hạ tầng, thiết bị, nhân sự, chi phí này mặc dù không được tính là chi phí dịch vụ chữ ký số nhưng cũng đều được tính vào chi phí giá thành khi TC-DN/cá nhân sử dụng các dịch vụ của ngân hàng.
Như vậy có thể khẳng định việc sử dụng 01 chữ ký số công cộng cho mọi giao dịch của TC-DN/cá nhân là hoàn toàn phù hợp và tối ưu về chi phí, trải nghiệm khách hàng. Không làm phát sinh thêm các chi phí không cần thiết khi phải sử dụng, quản lý thêm nhiều chữ ký số với các mục đích sử dụng khác nhau.
- Về đảm bảo tính kịp thời trong việc cung cấp chứng từ, chứng cứ chứng minh khi phát sinh khiếu nại, tranh chấp với khách hàng
- Về cung cấp chứng từ, chứng cứ chứng minh, VCDC thấy rằng:
Thứ nhất, bằng việc tích hợp trực tiếp (SDK/Deeplink/API) lên các ứng dụng, nghiệp vụ của ngân hàng, chữ ký số chỉ đóng vai trò trong việc ký và xác thực, không phải là hệ thống quản lý, lưu trữ các chứng từ của ngân hàng. Toàn bộ hồ sơ, chứng từ đã được ký số đều được lưu trực tiếp ở hệ thống của Ngân hàng vì vậy không có khó khăn khi cần truy vấn lại các tài liệu đã được ký số phục vụ giải quyết tranh chấp, khiếu nại.
Thứ hai, với vai trò là nhà cung cấp dịch vụ tin cậy, toàn bộ quy trình cung cấp dịch vụ, tài liệu chứng từ, hồ sơ thuê bao và các hệ thống cung cấp thông tin trạng thái chứng thư số, kiểm tra hiệu lực chứng thư số đều được các CA công cộng cung cấp theo đúng quy định pháp luật. Các giao dịch được thực hiện bằng chữ ký số công cộng đã đảm bảo tính toàn vẹn, xác thực và chống chối bỏ của dữ liệu ngay tại thời điểm ký.
Thứ ba, bằng việc sử dụng chữ ký số đại diện cho TC-DN/cá nhân được cung cấp bởi tổ chức cung cấp dịch vụ tin cậy là các CA công cộng cũng giúp bảo vệ quyền lợi cho khách hàng, giảm thiểu rủi ro có thể gặp phải của khách hàng khi có các phát sinh khiếu nại, tranh chấp trong các giao dịch điện tử được tạo ra bởi chính chữ ký số chuyên dùng do chính đơn vị thực hiện giao dịch với TC-DN/cá nhân tự cấp phát và quản lý.
- Về mức độ tương thích:
Thứ nhất, hệ thống bảo mật, xác thực của các CA công cộng là hệ thống thông tin an toàn cấp độ 3 theo quy định pháp luật về an toàn thông tin mạng, an ninh mạng và theo quy định mới đều phải được đánh giá và kiểm toán định kỳ bởi các đơn vị ngoại kiểm độc lập. Chỉ khi đáp ứng các yếu tố trên CA công cộng mới đủ điều kiện để cung cấp dịch vụ.
Thứ hai, chữ ký số đã và đang được sử dụng và tương thích với toàn bộ các hệ thống giao dịch trực tuyến đỏi hỏi mức độ an ninh, an toàn nghiêm ngặt: Hệ thống ngân hàng giao dịch với các TC-DN (các TC-DN đã có sử dụng ít nhất 01 chữ ký số công cộng và các chữ ký số này đã được triển khai và áp dụng trong hệ thống giao dịch của ngân hàng), hệ thống của các công ty chứng khoán, hệ thống hóa đơn điện tử,… với hàng tỷ giao dịch mỗi năm.
Như vậy, hệ thống của các CA công cộng hoàn toàn tương thích với hệ thống của từng ngân hàng, các tiêu chuẩn an toàn bảo mật của ngân hàng và đã được triển khai cho các ngân hàng trong nhiều các nghiệp vụ: ký kết hợp đồng, phát hành hóa đơn, văn bản điện tử,… một cách an toàn, thuận tiện, không phát sinh các thủ tục giấy tờ không cần thiết khác.
- Về lo ngại các rủi ro về hiệu năng và sự phụ thuộc khi sử dụng chữ ký số công cộng trong các hoạt động giao dịch của ngân hàng
- Về lo ngại về rủi ro về hiệu năng, VCDC nhận thấy:
Thứ nhất, hiện 100% doanh nghiệp đã có ít nhất 01 chữ ký số công cộng để thực hiện các giao dịch trực tuyến. Thống kê của riêng ngành Thuế trong năm 2023 có 6,27 tỷ hóa đơn điện tử được phát hành; 16 triệu hồ sơ khai thuế điện tử; 18,2 triệu bộ hồ sơ đồng bộ lên Cổng DVCQG chưa kể đến các lĩnh vực khác của xã hội: hải quan, bảo hiểm xã hội, giáo dục, y tế,… đều đang được thực hiện bằng chữ ký số công cộng bởi các TC-DN và cá nhân trên toàn quốc. Con số này so với con số 2,3 tỷ giao dịch/năm với 12 triệu khách hàng của 1 trong 4 ngân hàng thương mại có vốn nhà nước được Hiệp hội ngân hàng đưa ra là rất nhỏ so với năng lực của các CA công cộng đang cung cấp.
Thứ hai, thực tế các ngân hàng không chỉ sử dụng dịch vụ chữ ký số công cộng để phục vụ các hoạt động giao dịch của ngân hàng mà bên cạnh đó còn rất nhiều các dịch vụ: Truyền dẫn, Internet, SMS,… của các nhà cung cấp dịch vụ với số lượng đơn vị cung cấp ít hơn nhiều so với số lượng các CA công cộng và ký số từ xa tại Việt Nam. Việc xác định trách nhiệm trong trường hợp chậm/gián đoạn giao dịch phải được đánh giá cụ thể từ tất cả các hệ thống liên quan. Với năng lực triển khai thực tế như đã ví dụ ở trên, chưa có cơ sở nào để đưa ra nhận định việc sử dụng chữ ký công cộng là mối nguy cơ làm chậm hoặc ngưng trệ các hoạt động giao dịch của ngân hàng.
- Về lo ngại đối với quả tải, tiểm ẩn rủi ro hệ thống, của các CA công cộng đang cung cấp, VCDC cho rằng đang có 25 nhà cung cấp dịch vụ tại Việt Nam hoàn toàn đủ năng lực cung cấp dịch vụ cho toàn bộ công dân và giao dịch trong mọi lĩnh vực xã hội. Thực tế số lượng nhà cung cấp dịch vụ Chữ ký số công cộng tại Việt Nam đang cao hơn một số nước phát triển trong khu vực như Trung Quốc, Ấn Độ, Hàn Quốc, Singapore,… toàn bộ công dân và giao dịch trong mọi lĩnh vực xã hội.
Điều này một lần nữa khẳng định các CA công cộng tại Việt Nam hoàn toàn đủ năng lực, hạ tầng, nhân sự để cung cấp dịch vụ chứng thực chữ ký số công cộng cho toàn bộ TC-DN, công dân trong tất cả các giao dịch điện tử nói chung và giao dịch điện tử trong lĩnh vực tài chính, ngân hàng nói riêng.
Trên đây là ý kiến của Câu lạc bộ Chữ ký số và Giao dịch điện tử Việt Nam và các CA công cộng về khả năng đáp ứng của CA công cộng trong các giao dịch điện tử sử dụng chữ ký số trong lĩnh vực Tài chính, ngân hàng và các ứng dụng khác.
Bkav