Quy chuẩn kỹ thuật quốc gia QCVN 137:2025/BKHCN về Yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng Số hiệu: QCVN137:2025/BKHCN Ngày ban hành: 31/12/2025 Ngày hiệu lực: 01/07/2026 Tình trạng: Chưa xác định Nguồn tra cứu: vanban.phaplyvn.com ====================================================================== QCVN 137:2025/BKHCN QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ YÊU CẦU ĐỐI VỚI DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNG NATIONAL TECHNICAL REGULATION ON REQUIREMENTS FOR PUBLIC DIGITAL SIGNATURE AUTHENTICATION SERVICES Mục lục 1. QUY ĐỊNH CHUNG 1.1. Phạm vi điều chỉnh 1.2. Đối tượng áp dụng 1.3. Tài liệu viện dẫn 1.4. Giải thích từ ngữ 1.5. Chữ viết tắt 2. QUY ĐỊNH KỸ THUẬT 2.1. Yêu cầu kỹ thuật 2.1.1. Yêu cầu đối với mật mã và chữ ký số 2.1.2. Yêu cầu đối với thông tin, dữ liệu 2.1.3. Yêu cầu đối với chứng thư chữ ký số 2.1.4. Yêu cầu đối với HSM và thiết bị mật mã, lưu khóa 2.2. Yêu cầu đối với mô hình ký số trên các phương tiện lưu khóa bí mật bằng thiết bị phần cứng 2.2.1. Yêu cầu về quy trình vận hành và kiểm soát 2.3. Yêu cầu đối với mô hình ký số từ xa ký số của khách hàng 2.3.1. Yêu cầu đối với hệ thống quản lý khóa bí mật, chứng thư chữ ký số và tạo chữ ký số của khách hàng 2.3.2. Yêu cầu về quy trình vận hành và kiểm soát 2.4. Yêu cầu đối với mô hình ký số trên thiết bị di động 2.4.1. Yêu cầu đối với chức năng và giao diện 2.4.2. Yêu cầu đối với thẻ SIM 2.4.3. Yêu cầu về quy trình vận hành và kiểm soát 3. QUY ĐỊNH VỀ QUẢN LÝ 4. TRÁCH NHIỆM CỦA TỔ CHỨC, CÁ NHÂN 5. TỔ CHỨC THỰC HIỆN Lời nói đầu QCVN 137:2025/BKHCN do Trung tâm Chứng thực điện tử Quốc gia biên soạn, Ủy ban Tiêu chuẩn Đo lường Chất lượng Quốc gia thẩm định, Bộ trưởng Bộ Khoa học và Công nghệ ban hành kèm theo Thông tư số ..../2025/TT- BKHCN ngày ... tháng .... năm 2025. QUY CHUẨN KỸ THUẬT QUỐC GIA VỀ YÊU CẦU ĐỐI VỚI DỊCH VỤ CHỨNG THỰC CHỮ KÝ SỐ CÔNG CỘNG NATIONAL TECHNICAL REGULATION ON REQUIREMENTS FOR PUBLIC DIGITAL SIGNATURE AUTHENTICATION SERVICES 1. QUY ĐỊNH CHUNG 1.1. Phạm vi điều chỉnh Quy chuẩn này quy định các yêu cầu đối với dịch vụ chứng thực chữ ký số công cộng, yêu cầu về quy trình vận hành và kiểm soát đối với tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng bao gồm: - Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên các phương tiện lưu khóa bí mật bằng thiết bị phần cứng; - Dịch vụ chứng thực chữ ký số công cộng theo mô hình từ xa; - Dịch vụ chứng thực chữ ký số công cộng theo mô hình ký số trên thiết bị di động. 1.2. Đối tượng áp dụng Quy chuẩn này được áp dụng cho Tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng; Tổ chức cung cấp dịch vụ chứng thực chữ ký điện tử nước ngoài đề nghị công nhận tại Việt Nam và các tổ chức, cá nhân có liên quan đến hoạt động cung cấp dịch vụ chứng thực chữ ký số công cộng tại Việt Nam. Quy chuẩn này không áp dụng cho Tổ chức cung cấp dịch vụ chứng thực chữ ký số chuyên dùng công vụ. 1.3. Tài liệu viện dẫn [1] IETF RFC 5280: Internet X.509 Public Key Infrastructure Certificate and Certificate Revocation List (CRL) Profile [2] IETF RFC 6960: X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP [3] ISO/IEC 15408: Information security, cybersecurity and privacy protection - Evaluation criteria for IT security (parts 1 to 3) [4] ISO/IEC 9594-8 /Recommendation ITU-T X.509 : Information technology - Open systems interconnection - Part 8: The Directory: Public-key and attribute certificate frameworks". [5] FIPS PUB 140-2: Security Requirements for Cryptographic Modules [6] FIPS PUB 140-3: Security Requirements for Cryptographic Modules [7] FIPS PUB 202: SHA-3 standard - Permutation-Based Hash and Extendable - Output Functions [8] FIPS PUB 180-4: Secure Hash Standard [9] FIPS PUB 197: Advanced Encryption Standard [10] EN 419 221-5:2018: Protection Profiles for TSP Cryptographic modules - Part 5: Cryptographic Module for Trust Services requirements [11] EN 419 221-1:2018: Trustworthy Systems Supporting Server Signing - Part 1: General system security requirements [12] EN 419 221-2:2019: Trustworthy Systems Supporting Server Signing - Part 2: Protection Profile for QSCD for Server Signing [13] ETSI EN 319 401: Electronic Signatures and Trust Infrastructures (ESI); General Policy Requirements for Trust Service Providers [14] ETSI EN 319 411-1: Electronic Signatures and Trust Infrastructures (ESI); Policy and security requirements for Trust Service Providers issuing certificates; Part 1: General requirements [15] ETSI TS 119 431-1: Electronic Signatures and Trust Infrastructures (ESI); Policy a