Upload
others
View
0
Download
0
Embed Size (px)
Citation preview
Thái Bình, tháng 5 năm 2019
Trung tâm Chứng thực điện tử Quốc gia - NEAC
Định danh điện tử ◦ Định danh điện tử là đại diện duy nhất của một đối tượng (người/thực
thể) với tập hợp dữ liệu thuộc tính đủ chi tiết để mô tả được đối
tượng đó là duy nhất khi tham gia vào một giao dịch điện tử trong một
ngữ cảnh nhất định như chính phủ điện tử, thương mại điện tử.
Xác thực (định danh) điện tử ◦ Xác thực điện tử là quy trình về thiết lập sự tin cậy của định danh
người dùng bằng phương tiện điện tử đối với một hệ thống thông tin.
Nói cách khác: là việc xác thực thông tin định danh của người trình
diện (vd: login vào cổng dịch vụ công chẳng hạn) và xác minh xem
các thông tin, dữ liệu thuộc tính đó có đúng với thông tin, dẽ liệu của
định danh về người đó đã được đăng ký và lưu trữ trong hệ thống
quản lý định danh hay không.
◦ Phương thức xác thực: username/password; mật khẩu một lần
OTP/Smart OTP, sinh trắc học (biometrics), chữ ký số.
Xác thực nội bộ
Xác thực bên ngoài
Mô hình xác thực tập trung
Mô hình xác thực liên minh/liên
thông
Mô hình phân tán
Hiện trạng: Chưa có quy định về định danh, xác thực điện tử
Nghị quyết 17/NQ-CP ngày 7/3/2019
Giao Bộ TTTT xây dựng Nghị định về định danh và xác thực
The National Strategy for Trusted Identities in Cyberspace - 2011
An industry Project of the Financial Services Community
Samia Melhem, Global Lead, Digital Development, The World Bank Group
Digital ID Platform connects among RP, IdP and AS
Phạm vi Nghị định sẽ điều chỉnh
Future: CSDL QG về Dân cư
Verifiers
Người dân
Doanh nghiệp
Web/PC
App/Mobile
Nền tảng Trung gian
Cơ quan quản lý Pháp lý/chính sách Tiêu chuẩn/quy chuẩn
AS: Y tế/Giáo dục/Others
SP/RP SP/RP SPs/RPs
IdP IdP Cung cấp định danh
Nghị định sẽ pháp lý hóa “định danh pháp lý” của người
dùng, pháp nhân (tổ chức) thông qua quy trình để trở thành
“định danh điện tử có pháp lý” phục vụ cho việc giao dịch
điện tử trên mạng (những giao dịch được pháp luật bảo vệ).
Với hiện trạng Việt Nam hiện nay, Nghị định xác định các
bên tham gia hệ thống cung cấp dịch vụ đinh danh và xác
thực điện tử (người dùng, nhà cung cấp định danh, ứng
dụng/dịch vụ, xác thực/nền tảng trung gian).
Cơ quan nhà nước sẽ quy định:
◦ Các chính sách, điều kiện, tiêu chuẩn, quy chuẩn kỹ thuật và vận hành
cho từng đối tượng, hệ thống: định danh điện tử, nhà cung cấp định
danh, bên ứng dụng/dịch vụ, các loại hình xác thực điện tử, xác
thực/nền tảng trung gian và người sử dụng
◦ Thiết lập các mức bảo đảm tiêu chuẩn.
1. Quy định chung
2. Quy định về định danh điện tử
3. Quy định về xác thực điện tử
4. Quy định về dịch vụ định danh/xác thực định danh
điện tử.
5. Quy định đối với ứng dụng dịch vụ định danh/xác
thực điện tử
6. Các điều kiện, tiêu chuẩn, quy chuẩn
7. Phản ứng và phục hồi định danh/dịch vụ
8. Tổ chức thực hiện
Quy định về định danh điện tử, các nội dung: ◦ Đăng ký, thiết lập định danh điện tử,
◦ Cách thức xác minh định danh để được chấp nhận
thành một định danh điện tử trong hệ thống;
◦ Quản lý, cập nhật, hủy bỏ định danh điện tử và thông tin
về định danh điện tử (khi nào cập nhật, điều kiện gì,
trình tự thủ tục), khi nào hủy bỏ (điều kiện hủy bỏ, trình
tự hủy bỏ, thời gian…).
Quy định về các mức độ bảo đảm an toàn của
định danh điện tử.
Quy định việc chia sẻ thông tin về dữ liệu định
danh điện tử
Quy định chung về việc xác thực định danh điện
tử ◦ Phân loại các loại hình xác thực điện tử;
◦ Các yêu cầu đối với từng loại hình xác thực điện tử;
◦ Mức độ đảm bảo xác thực điện tử
Quy định, yêu cầu riêng cho từng môi trường
xác thực điện tử ◦ Web/mobile/cloud
Quy trình xác thực điện tử, ◦ Quy định workflow của thông tin xác thực được mã
hóa giữa các bên
Quy định về điều kiện: ◦ Pháp nhân, kỹ thuật, công nghệ, an toàn bảo mật, nhân
sự cần thiết, quy trình vận hành của tổ chức đủ điều
kiện cung cấp dịch vụ định danh và xác thực định danh
điện tử
◦ Các nguồn dữ liệu định danh dùng để xác thực;
◦ Các yêu cầu kỹ thuật, an toàn bảo mật, các loại thông
tin lưu trữ thông tin định danh, giao dịch điện tử đối với
các nền tảng hoặc hạ tầng trung gian xác thực định
danh điện tử phục vụ cho giao dịch dịch điện tử.
◦ Yêu cầu kỹ thuật, yêu cầu chức năng, bảo mật của hệ
thống quản lý định danh điện tử
Quy định về kỹ thuật, công nghệ, quy trình:
◦ Quy định về các yêu cầu kỹ thuật, công nghệ đối với hệ
thống thông tin của bên ứng dụng liên quan đến việc
xác thực định danh điện tử.
◦ Có nhiều mức độ xác thực, nhiều loại hình dịch vụ nên
đối với từng dịch vụ cũng có thể quy định riêng (ví dụ
cho dịch vụ công cần có quy định riêng).
Quy định này nhằm đảm bảo việc xác thực định danh điện tử đúng trình
tự, kỹ thuật, công nghệ và giao tiếp được giữa các hệ thống thông tin.
Bên cạnh đó các thông tin lưu trữ đảm bảo cho việc kiểm tra, kiểm toán
hoặc giải quyết kiếu nại liên quan đến trách nhiệm cũng như các hoạt
động của người dùng khi tham gia vaò hệ thống ứng dụng/dịch vụ
Trong các hệ thống xác thực định danh điện tử có
nhiều thành phần, nhiều công đoạn giao tiếp của các
hệ thống, nhiều môi trường giao dịch, do đó, để có thể
vận hành trơn tru, liên thông được giữa các hệ thống
thì cần có các quy định về tiêu chuẩn, quy chuẩn cụ
thể và đồng bộ.
Quy định các tiêu chuẩn, quy chuẩn kỹ thuật cho dữ liệu, an
toàn bảo mật, các hệ thống thông tin; tiêu chuẩn, quy chuẩn
vận hành, tiêu chuẩn giải quyết sự cố… của các tổ chức
cung cấp dịch vụ định danh điện tử và bên ứng dụng
Phạm vi, đối tượng điều chỉnh của Nghị định:
- Chỉ quy định về định danh, xác thực điện tử đối với giao
dịch điện tử của cơ quan nhà nước?
- Quy định về định danh, xác thực điện tử cả giao dịch
điện tử của cơ quan nhà nước, của các doanh nghiệp
cung cấp dịch vụ online?
Mô hình tập trung hay mô hình liên thông?
- Nên có nhiều nhà cung cấp dịch vụ định danh điện tử?
- Nên có nhiều nhà cung cấp dịch vụ xác thực hay nên chỉ
tập trung 1 cổng duy nhất?
Các nội dung khác
Xin trân trọng cảm ơn!
Phạm Quốc Hoàn
Trung tâm Chứng thực điện tử Quốc gia
Tel: 024.36882333/091 336 2858
website: www.neac.gov.vn