Quy chế chứng thực của Bkav
--------------------------------------------------------------------------------
Ver : 1.11
Date : 9/1/2023
Fixed :
- Mục 6.3.2: Sửa nội dung
• Thời hạn sử dụng của chứng thư số sẽ kết thúc khi chứng thư số đó hết hạn hoặc bị thu hồi.
=> Sửa lại thành
• Thời hạn sử dụng của chứng thư số cung cấp cho khách hàng sẽ kết thúc khi hết hạn gói dịch vụ khách hàng đăng ký hoặc chứng thư số bị thu hồi.
--------------------------------------------------------------------------------
Ver : 1.10
Date : 15/07/2022
Fixed :
- Sửa mục 1.5.2: Sửa nội dung
• Người đứng đầu hệ thống Giám
o Giám Đốc: Lê Thanh Nam.
o Email: NamLT@bkav.com
=> Sửa lại thành
• Phụ trách Bkav CA
o Giám đốc Ban Khách hàng doanh nghiệp: Nguyễn Khơ Din.
o Email: dinnk@bkav.com
--------------------------------------------------------------------------------
Ver : 1.9
Date : 07/07/2021
Fixed :
- Sửa mục 1.5.2: Sửa nội dung
• Email: NamLT@bkav.com.vn
• Email: bkavca@bkav.com.vn
=> Sửa lại thành
• Email: NamLT@bkav.com
• Email: bkavca@bkav.com
- Sửa mục 2.1: Bổ sung nội dung lưu trữ theo quy định trong TT31
• Lưu trữ và sử dụng thông tin của thuê bao một cách bí mật, an toàn và chỉ được sử dụng thông tin này vào mục đích liên quan đến chứng thư số.
• Lưu trữ đầy đủ, chính xác và cập nhật thông tin của thuê bao phục vụ việc cấp chứng thư số trong suốt thời gian chứng thư số có hiệu lực và trong thời gian ít nhất 05 năm, kể từ khi chứng thư số hết hiệu lực.
• Lưu trữ đầy đủ, chính xác và cập nhật danh sách các chứng thư số có hiệu lực, đang tạm dừng và đã hết hiệu lực và cho phép, hướng dẫn người sử dụng Internet truy nhập trực tuyến 24 giờ trong ngày và 7 ngày trong tuần.
• Lưu trữ toàn bộ thông tin liên quan đến việc tạm đình chỉ hoặc thu hồi giấy phép và các cơ sở dữ liệu về thuê bao, chứng thư số trong thời gian ít nhất 05 (năm) năm, kể từ khi giấy phép bị tạm đình chỉ hoặc thu hồi.
- Sửa mục 5.2: Sửa nội dung
• BkavCA công bố thông tin chứng thư số của khách hàng tại địa chỉ https://directory.bkavca.vn. Việc tra cứu thông tin tại địa chỉ này được thực hiện thông qua cổng kết nối trung gian để đảm bảo an toàn.
=> Sửa lại thành:
• BkavCA công bố thông tin chứng thư số của khách hàng tại địa chỉ https://directory.bkavca.vn. Việc tra cứu thông tin tại địa chỉ này được thực hiện thông qua cổng kết nối trung gian để đảm bảo an toàn. Chi tiết hướng dẫn tra cứu qua trang chủ https://bkavca.vn/chi-tiet-huong-dan
- Sửa mục 5.1.7: Bổ sung quy trình xử lý rác thải, tiêu hủy thông tin nhạy cảm
- Sửa mục 6.1.1: Bổ sung quy trình sinh khóa Thuê bao
- Sửa mục 4.11: Bổ sung thủ tục thu hồi chứng thư số
--------------------------------------------------------------------------------
Ver : 1.8
Date : 07/01/2021
Fixed :
- Sửa mục 4.10.3: Sửa nội dung
• OCSP là dịch vụ tùy chọn, có phí.
=> Sửa lại thành
• OCSP là dịch vụ tùy chọn, miễn phí.
- Sửa mục 5.4.8: Sửa nội dung
5.4.8 Đánh giá lỗ hổng hệ thống
• Dữ liệu nhật ký sẽ được đưa vào phân tích, kết quả phân tích sẽ cho biết các lỗ hổng tiềm tàng trong hệ thống, từ đó có phương án khắc phục.
=> Sửa lại thành
5.4.8 Đánh giá hệ thống
• Dữ liệu nhật ký sẽ được đưa vào phân tích, kết quả phân tích sẽ cho biết các nguy cơ tiềm tàng trong hệ thống, từ đó có phương án khắc phục.
--------------------------------------------------------------------------------
Ver : 1.7
Date : 09/09/2020
Fixed :
- Sửa mục 1.5.4: Sửa nội dung
• http://bkavca.vn/cps_update
• http://bkavca.vn/cps
=> Sửa lại thành
• https://bkavca.vn/cps_update
• https://bkavca.vn/cps
- Sửa mục 2.2: Sửa nội dung
o Thông tin chứng thư số bị thu hồi được công bố tại địa chỉ
http://crl.bkavca.vn/BkavCA.crl
• BkavCA luôn công bố phiên bản hiện tại của chính sách chứng thư số, quy chế chứng thực, thỏa thuận thuê bao, thỏa thuận người nhận và chính sách bảo mật tại:
http://bkavca.vn/
• BkavCA công bố thông tin CA tại:
http://bkavca.vn/
=> Sửa lại thành
o Thông tin chứng thư số SHA1 còn hạn bị thu hồi được công bố tại địa chỉ
http://crl.bkavca.vn/BkavCA.crl
o Thông tin chứng thư số SHA2 còn hạn bị thu hồi được công bố tại địa chỉ
http://crl.bkavca.vn/BkavCA2.crl
• BkavCA luôn công bố phiên bản hiện tại của chính sách chứng thư số, quy chế chứng thực, thỏa thuận thuê bao, thỏa thuận người nhận và chính sách bảo mật tại:
https://bkavca.vn/
• BkavCA công bố thông tin CA tại:
https://bkavca.vn/
--------------------------------------------------------------------------------
Ver : 1.6
Date : 15/11/2018
Fixed :
- Sửa mục 2.2: Sửa nội dung
• http://directory.bkavca.vn
=> Sửa lại thành
• https://directory.bkavca.vn
--------------------------------------------------------------------------------
Ver : 1.5
Date : 24/08/2016
Fixed :
- Sửa mục 6.1.6: Sửa nội dung
• Quá trình sinh khóa công khai tuần theo chuẩn PKCS #1, đáp ứng theo tiêu chuẩn trong quyết định số 59/2008/QĐ – BTTTT của Bộ Thông Tin và Truyền Thông (TTTT) ban hành ngày 31 tháng 12 năm 2008.
=> Sửa lại thành
• Quá trình sinh khóa công khai tuân theo chuẩn PKCS #1, đáp ứng theo các tiêu chuẩn trong Thông tư số 6/2015/TT-BTTTT ban hành ngày 23 tháng 3 năm 2015.
- Sửa mục 7: Sửa nội dung RFC 3280 thành RFC 5280. Tuân theo Thông tư số 6 ngày 23 tháng 2 năm 2015.
- Sửa tiêu chuẩn áp dụng từ Quyết định số 59/2008/QĐ-BTTTT thành Thông tư số 6/2015/TT-BTTTT.
--------------------------------------------------------------------------------
Ver : 1.4
Date : 08/01/2015
Fixed :
- Sửa mục 4.4.1: Sửa nội dung
• Trong vòng 3 ngày tính từ khi tải chứng thư số hoặc từ khi nhận được USB token, nếu thuê bao không có phản hồi về việc không chấp nhận chứng thư số, BkavCA coi như thuê bao chấp nhận chứng thư số.
=> Sửa lại thành:
• Thuê bao thể hiện sự chấp nhận một chứng thư số khi ký vào biên bản giao nhận chứng thư số của BkavCA. Biên bản giao nhận có sự xác nhận thông tin trên chứng thư số phù hợp với thông tin thuê bao. Biên bản giao nhận này được BkavCA lưu trữ
- Sửa mục 4.4.2: Bổ sung nội dung
• Sau khi thuê bao chấp nhận chứng thư số (4.4.1), BkavCA sẽ công bố chứng thư số khi thuê bao sử dụng USB Token lần đầu tiên.
- Sửa mục 1.3.2: Bỏ nội dung
• Các RA khác phải tuân thủ các quy định được chỉ rõ trong Quy chế chứng thực này. Ngoài ra, RA và BkavCA sẽ ký thỏa thuận quy định về quyền hạn và trách nhiệm của các bên trong việc cung cấp dịch vụ. Thông tin chi tiết về thỏa thuận giữa BkavCA và RA được trình bày trong phần phụ lục.
- Sửa mục 9.6.1:
Bổ sung nội dung
• Chịu trách nhiệm về việc quản lý và xác minh các điều kiện hoạt động của RA theo quy định của pháp luật.
Bỏ nội dung:
• Thỏa thuận thuê bao có thể bao gồm thêm những điều khoản khác. Nội dung thỏa thuận thuê bao được trình bày trong phần phụ lục
- Sửa mục 9.6.2:
Bổ sung nội dung
o Tuân thủ theo quy trình quản lý vòng đời chứng thư số của BkavCA.
• RA có trách nhiệm ký hợp đồng với Bkav. Trong hợp đồng có quy định:
o Loại chứng thư số mà RA được phép tham gia cung cấp.
o Các bước trong quy trình cấp phát chứng thư số RA được thực hiện.
o Chứng thư số chỉ được cấp sau khi BkavCA đã nhận đầy đủ hồ sơ của thuê bao, và thông tin thuê bao được thẩm định.
o Cam kết của RA với BkavCA đúng như trong hợp đồng đã ký và theo quy định của pháp luật.
o Nhân viên RA trực tiếp tham gia vào quy trình cung cấp chứng thư số phải có hiểu biết pháp luật về chữ ký số và dịch vụ chứng thực chữ ký số.
Bỏ nội dung:
Thỏa thuận thuê bao có thể bao gồm thêm những điều khoản khác. Nội dung thỏa thuận thuê bao được trình bày trong phần phụ lục
- Sửa mục 1.4.1:
Bỏ nội dung:
• Hiện tại, mục đích sử dụng của chứng thư số do BkavCA ban hành gồm có:
o Chứng thư số SSL: Xác thực Web Server, mã hóa 256 bit phiên giao dịch SSL giữa Server và Client
o Chứng thư số cho CodeSigning: Đảm bảo an ninh cho mã nguồn, nội dung được phân phối qua Internet
o Chứng thư số cá nhân cho cơ quan, tổ chức, cá nhân: Xác thực nhận dạng của client trong phiên giao dịch SSL với Server ứng dụng, xác thực chữ ký, mã hóa trong trao đổi email.
Bổ sung nội dung:
• Hiện tại Bkav cung cấp các gói dịch vụ tương ứng với KeyUsage được trình bày trong mục 7.1.2.1
- Sửa mục 1.4.2: Bỏ nội dung
Chứng thư số của BkavCA không được sử dụng ngoài những chức năng quản lý chứng thư số của CA.
- Sửa mục 1.5.2:
Bổ sung nội dung
Người đứng đầu hệ thống
Giám Đốc: Lê Thanh Nam.
Email : NamLT@bkav.com.vn
- Sửa mục 1.5.3:
Sửa nội dung
BkavCA PMA hiện tại gồm có các thành viên sau:
Đại diện của Trung tâm chứng thực chữ ký số Quốc Gia – RootCA.
Người đứng đầu hệ thống BkavCA.
=> Sửa lại thành:
BkavCA PMA là người đứng đầu hệ thống BkavCA
- Sửa mục 4.9.2:
Bổ sung nội dung
Bộ Thông tin và Truyền thông có thể yêu cầu thu hồi chứng thư số nếu như hồ sơ không đầy đủ.
Bỏ nội dung:
• Đối với chứng thư số của quản trị hệ thống:
o BkavCA hay một RA có quyền yêu cầu thu hồi chứng thư số của quản trị hệ thống
- Sửa mục 5.4.6:
Bổ sung nội dung
• Chi tiết về nơi lưu nhật ký và cơ chế lưu được mô tả trong Phương án kỹ thuật.
- Sửa mục 4.9.1:
Bổ sung nội dung:
• Khi BkavCA/Thuê bao xác định khóa thuê bao bị lộ thì BkavCA sẽ thực hiện:
o Xác minh với thuê bao về việc lộ khóa
o Thu hồi chứng thư số của thuê bao.
o Kiểm tra xác minh ảnh hưởng đến các thuê bao khác (nếu có).
- Sửa mục 4.9.12:
Sửa nội dung:
• Khi khóa bí mật bị mất/lộ hoặc nghi ngờ mất/lộ, BkavCA ngay lập tức thông báo cho các thành viên của mình về sự mất/lộ này
=> Sửa lại thành:
• Khi khóa bí mật BkavCA bị mất/lộ hoặc nghi ngờ mất/lộ, BkavCA thực hiện:
o Lập tức báo cho RootCA về việc bị mất/lộ hoặc nghi ngờ mất/lộ khóa
o Tạm dừng cấp phát chứng thư số cho tới khi có kết quả xác minh.
o Thực hiện theo hướng dẫn của RootCA nếu bị mất/lộ khóa.
- Sửa mục 6.1.2:
Sửa nội dung
• Các giải pháp phân phối khóa của BkavCA như sau:
o Trường hợp cặp khóa được tạo ở phía thuê bao: không cần phải gửi khóa bí mật cho thuê bao.
o Trường hợp cặp khóa được tạo trên BkavCA: Khóa bí mật sẽ được lưu trong USB token. USB token được gửi cho thuê bao qua đường bưu điện có đảm bảo hoặc trao tận tay thuê bao. Mật khẩu sử dụng được gửi cho thuê bao qua email đã đăng ký
Bổ sung nội dung:
• Các giải pháp phân phối khóa của BkavCA như sau:
o Trường hợp cặp khóa được tạo ở phía thuê bao: không cần phải gửi khóa bí mật cho thuê bao.
o Trường hợp cặp khóa được tạo trên BkavCA: Khóa bí mật được lưu trong USB Token. BkavCA chịu trách nhiệm và đảm bảo giao USB Token và mật khẩu sử dụng đến tận tay thuê bao một cách an toàn theo quy trình chuyển giao khóa bí mật:
Mật khẩu sử dụng cho USB Token được tạo ngẫu nhiên cho từng thuê bao.
USB Token và mật khẩu sử dụng được đóng gói và niêm phong trong phong bì của BkavCA.
Bkav cung cấp dịch vụ chuyển USB Token đến tận nơi cho thuê bao thông qua dịch vụ chuyển phát của Bkav hoặc đối tác.
Thuê bao chỉ ký vào biên bản giao nhận khi USB Token và mật khẩu sử dụng nằm trong phong bì vẫn còn niêm phong
- Sửa mục 9.6.2:
Bỏ nội dung
Cung cấp dịch vụ thu hồi và cho phép sử dụng địa chỉ lưu trữ phù hợp với quy chế chứng thực này.
- Sửa mục 2.2: Sửa nội dung
http://ldap.bkavca.vn/ (sẽ cung cấp dịch vụ sau, vào thời điểm thích hợp)
=> Sửa lại thành:
o o BkavCA công bố thông tin chứng thư số của khách hàng tại địa chỉ http://directory.bkavca.vn. Việc tra cứu thông tin tại địa chỉ này được thực hiện thông qua cổng kết nối trung gian để đảm bảo an toàn. BkavCA cho phép download chứng thư số của thuê bao theo chuẩn X.509, đảm bảo tính toàn vẹn.
--------------------------------------------------------------------------------
Ver : 1.3
Date : 02/12/2014
Fixed :
- Sửa mục 6.5.2: Sửa nội dung
Hệ thống máy chủ cung cấp dịch vụ của BkavCA hoạt động theo các quy trình tuân theo chuẩn ISO 27001.
=> Sửa lại thành: Hệ thống máy chủ cung cấp dịch vụ của BkavCA đang hoạt động theo chuẩn ISO 27001, và được đánh giá định kỳ 6 tháng một lần.
- Sửa mục 6.5.2:
Bỏ nội dung:
Hệ thống BkavCA được đánh giá định kỳ tuần theo phần 3 của ISO/IEC 15408-3:1999 (Information technology - Security techniques - Evaluation criteria for IT security)
--------------------------------------------------------------------------------
Ver : 1.2
Date : 19/07/2014
Fixed :
- Sửa mục 1.5.4:
Bổ sung thêm nội dung: "Các thay đổi, cập nhật của quy chế chứng thực được ghi lại, công bố tại http://bkavca.vn/cps_update".
Sửa nội link lưu quy chế chứng thực:
http://www.bkavca.vn/updates
=> Sửa lại thành: http://bkavca.vn/cps
- Sửa mục 3.1.1: Bổ sung thêm thuộc tính UID vào SubjectDN.
Sử dụng bộ câu hỏi xác thực: nếu thuê bao trả lời đúng toàn bộ chuỗi câu hỏi xác thực, quá trình thu hồi chứng thư số sẽ được tiến hành.
=> Sửa lại thành: "Bkav sẽ xác nhận lại yêu cầu thu hồi chứng thư số của khách hàng, qua thông tin liên hệ khách hàng đã cung cấp, khi đăng ký cấp chứng thư số".
- Sửa mục 7.1.2.4: Sửa nội dung
Chứng thư số do BkavCA ban hành không có trường mở rộng này.
=> Sửa lại thành: Phần mở rộng Basic Constraints của chứng thư số được gán giá trị theo RFC 3280.
- Sửa mục 7.1.2.5: Sửa nội dung:
Chứng thư số ký số của Server
=> Sửa lại thành: Có xác thực client.
- Sửa mục 7.1.3:
Bỏ 2 nội dung trong các thuật toán ký:
md5WithRSAEncryption OBJECT IDENTIFIER ::= {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 4}
md2WithRSAEncryption OBJECT IDENTIFIER ::= {iso(1) member-body(2) us(840) rsadsi(113549) pkcs(1) pkcs-1(1) 2}.
- Sửa mục 9.2: Sửa nội dung:
BkavCA
=> Sửa lại thành: Bkav
--------------------------------------------------------------------------------
Ver : 1.1
Date : 15/03/2014
Fixed :
- Sửa mục 1.3.1: Sửa tên công ty "TNHH An ninh mạng Bkav" thành "CÔNG TY CỔ PHẦN Bkav".
- Sửa mục 1.5.2: sửa địa chỉ liên hệ Bkav
B12 - Kim Liên - Phường Kim Liên - Quận Đống Đa - TP.Hà Nội, Việt Nam"
=> Sửa lại thành: Tầng 2, toà nhà HH1, khu đô thị Yên Hoà, phường Yên Hoà, quận Cầu Giấy, Hà Nội.
- Sửa mục 1.5.3: Bỏ nội dung:
Đại diện của Trung tâm phần mềm và giải pháp An ninh mạng – ĐHBK Hà Nội.
- Sửa mục 1.5.4:
Thay đổi địa chỉ công bố quy chế chứng thực: http://www.bkavca.vn/updates => Sửa lại thành: http://bkavca.vn/cps
Bổ sung thêm nội dung: "Các thay đổi, cập nhật của quy chế chứng thực được ghi lại, công bố tại http://bkavca.vn/cps_update".
- Sửa mục 3.2.2: Sửa nội dung:
Cá nhân đại diện tổ chức phải đến trực tiếp BkavCA, hoặc các RA của BkavCA để thực hiện các thủ tục đăng ký thuê bao
=> Sửa lại thành: BkavCA, hoặc các RA của BkavCA thực hiện xác thực nhận dạng của tổ chức theo các thông tin nêu trên.
- Sửa mục 3.2.3: Thay đổi nội dung đăng ký và xác thực thông tin xác thực nhận dạng của cá nhân.
Bỏ nội dung:
[Ảnh.
Sổ hộ khẩu
Chứng minh nhân dân
Và các giấy tờ liên quan].
BkavCA/RA xác minh thông tin trên hồ sơ với các thông tin trên chứng minh thư, sổ hộ khẩu
Bkav/CA lưu dấu vân tay của người đăng ký.
- Sửa mục 3.3.1: Thay đổi nội dung:
Sử dụng bộ câu hỏi xác thực: khi đăng ký, thuê bao được lựa chọn một bộ câu hỏi và thuê bao đưa ra các câu trả lời tương ứng, bộ câu hỏi và các câu trả lời này được lưu lại và sử dụng để xác thực thuê bao. Thuê bao phải trả lời đúng toàn bộ các câu hỏi đã được lưu lại để được BkavCA chấp nhận yêu cầu làm mới chứng thư số.
=> Sửa lại thành: Sử dụng phương pháp xác thực: Thuê bao phải trả lời đúng toàn bộ các câu hỏi xác thực để được BkavCA chấp nhận yêu cầu làm mới chứng thư số.
- Sửa mục 3.4: Thay đổi nội dung:
Sử dụng bộ câu hỏi xác thực: nếu thuê bao trả lời đúng toàn bộ chuỗi câu hỏi đã thiết lập khi đăng ký, chứng thư số sẽ tự động bị thu hồi.
=> Sửa lại thành: Bkav sẽ xác nhận lại yêu cầu thu hồi chứng thư số của khách hàng, qua thông tin liên hệ khách hàng đã cung cấp, khi đăng ký cấp chứng thư số.
- Sửa mục 4.9.1: Thay đổi nội dung:
Khi nhận yêu cầu thu hồi từ một thuê bao cho chứng thư số của mình, BkavCA sẽ tạm dừng chứng thư số, chưa công bố thông tin thu hồi chứng thư số.
=> Sửa lại thành: Khi nhận yêu cầu thu hồi từ một thuê bao cho chứng thư số của mình, BkavCA sẽ thu hồi chứng thư số sau khi xác minh.
- Sửa mục 5.1.2: Bỏ nội dung "Lớp bảo vệ các thiết bị quan trọng, liên quan tới quá trình ký mã hóa (CSU) "
- Sửa mục 5.1.3: Bỏ nội dung "online", trong nội dung "Sử dụng hệ thống UPS online".
--------------------------------------------------------------------------------
Ver : 1.0
Date : 19/03/2010
Fixed :
- Công bố quy chế chứng thực của Bkav.
