Skip to content
Hỏi - Đáp pháp luật
Hỏi/Đáp liên quan đến xác thực lệnh đặt và giải pháp sử dụng chữ ký số trong GDTT (Thông tư 134/2017/TT-BTC)
13/11/2018

Câu 1: Trường hợp công ty chứng khoán (CTCK) sử dụng giải pháp xác thực token key có đảm bảo xác thực 2 yếu tố theo quy định của Thông tư 134 không? Trên thế giới hiện dùng giải pháp google authenticator có phù hợp với quy định không?

Trả lời:

- Công ty có thể sử dụng Token key làm giải pháp xác thực 2 yếu tố.

- Giải pháp Google Authenticator có thể được sử dụng nếu giải pháp này đáp ứng các yêu cầu về xác thực 2 yếu tố được quy định tại khoản 5 Điều 3 Thông tư 134: “Xác thực hai yếu tố là phương pháp xác thực yêu cầu hai yếu tố để chứng minh tính đúng đắn của một danh tính. Xác thực hai yếu tố dựa trên những thông tin mà người dùng biết như số PIN, mã khóa bí mật cùng với những thông tin mà người dùng có như thẻ thông minh, thiết bị token, điện thoại di động hoặc những dấu hiệu sinh trắc học của người dùng để xác minh danh tính”.

Câu 2: Đối với giải pháp xác thực 2 yếu tố, NĐT đăng nhập bằng mật khẩu và sử dụng OTP xác thực đặt lệnh. Vậy sau khi đăng nhập, NĐT sử dụng mã pin để xác thực tài khoản là đã đảm bảo yêu cầu hay chưa ?

Mỗi khi thực hiện giao dịch là một lần nhập mã PIN hay chỉ cần nhập mã PIN xác thực cho tất cả các giao dịch trong một phiên đăng nhập?

Trả lời: OTP (Once time Password) là mật khẩu được tạo ra bởi token hoặc gửi đến cho khách hàng qua tin nhắn SMS đến số điện thoại được đăng ký trước và chỉ có giá trị trong vòng một vài phút (mật khẩu dùng một lần). Mã PIN mà NĐT sử dụng để xác thực tài khoản phải đáp ứng yêu cầu là mật khẩu dùng một lần.

Theo quy định tại Điều 9 Thông tư 134/2017/TT-BTC, phiếu lệnh điện tử phải đáp ứng quy định tại khoản 4 Điều 3: "Phiếu lệnh điện tử là thông điệp dữ liệu ghi lại những thông tin nhà đầu tư đã đặt lệnh giao dịch qua hệ thống giao dịch chứng khoán trực tuyến tại một thời điểm nhất định mà chỉ có nhà đầu tư đó truy cập được vào hệ thống thông qua xác thực truy cập và đặt lệnh." và khoản 3 Điều 9 "Phiếu lệnh điện tử phải được ký bằng chữ ký số hoặc gắn liền, kết hợp một cách lô gíc với thông tin xác thực của nhà đầu tư theo quy định tại Điều 8 Thông tư này trước khi được gửi vào hệ thống".

Như vậy, mỗi lần giao dịch của nhà đầu tư (nhấn nút gửi lệnh vào hệ thống của CTCK) phải được hệ thống của công ty ghi nhận và xác thực (theo quy định tại khoản 1 Điều 8).

Câu 3: Xác thực 2 yếu tố đối với điện thoại hoặc fax như thế nào? Dấu hiệu người dùng biết và người dùng có đối với hình thức đặt lệnh qua fax? Giọng nói có phải là yếu tố xác thực thứ 2 không?

Trả lời: Thông tư 134 quy định hình thức GDCKTT gồm giao dịch qua internet và qua điện thoại, không có hình thức giao dịch bằng Fax.

Xác thực bằng giọng nói (hay bất kỳ hình thức nhận dạng sinh trắc học nào khác) được công nhận nếu giải pháp chứng tỏ được việc hệ thống nhận dạng được giọng nói (hay yếu tố nhận dạng khác) của nhà đầu tư và so khớp được với mẫu đã lưu giữ trong hệ thống

Câu 4: NĐT đã đặt lệnh ngày 20, 21 sau đó ngày 22 mới xác nhận các lệnh có được không?

Trả lời: Theo quy định tại khoản 3 Điều 9 Thông tư 134 “Phiếu lệnh điện tử phải được ký bằng chữ ký số hoặc gắn liền, kết hợp một cách lô gíc với thông tin xác thực của nhà đầu tư theo quy định tại Điều 8 Thông tư này trước khi được gửi vào hệ thống”. Do vậy, cách thực hiện như công ty nêu là không đáp ứng quy định. Nhà đầu tư cần thực hiện xác nhận lệnh trước khi lệnh được gửi vào hệ thống.

Câu 5: Hệ thống xác thực được triển khai tích hợp tại CTCK, như vậy có đảm bảo tính pháp lý của giải pháp khi không có bên thứ ba tham gia?

Trả lời: Tất cả các giao dịch của khách hàng thực hiện thông qua công ty chứng khoán. Nhà đầu tư dùng chữ ký số để xác thực giao dịch với CTCK. Hệ thống công ty chứng khoán kết nối với CA của nhà cung cấp dịch vụ chứng thực chữ ký số để kiểm tra thông tin về chữ ký số mà khách hàng sử dụng như thông tin về tính hợp lệ, thời hạn chứng thư số (không phải thông tin khách hàng). Vì vậy việc xác thực thông tin chữ ký số mà khách hàng sử dụng đảm bảo tính pháp lý do đã được các nhà cung cấp dịch vụ kiểm tra.

Câu 6: Hiện tại, quy định pháp luật cho phép nhà đầu tư mở tài khoản tại nhiều CTCK khác nhau, nếu 2 CTCK áp dụng giải pháp xác thực khác nhau, NĐT có phải sử dụng 2 CKS khác nhau không? Nếu phải sử dụng nhiều chữ ký số thì sẽ phát sinh chi phí ?

Trả lời: Hệ thống xác thực chấp nhận chữ ký số của tất cả các nhà cung cấp dịch vụ chứng thực chữ ký số được Bộ Thông tin và Truyền thông cấp phép, do đó, NĐT có thể sử dụng 01 CKS để giao dịch tại nhiều CTCK khác nhau.

Câu 7: Việc áp dụng chữ ký số trong GDTT là phù hợp và đảm bảo an toàn bảo mật cho giao dịch. Tuy nhiên, trong GDTT giữa nhà đầu tư và CTCK, NĐT quan tâm hàng đầu đến tốc độ giao dịch. Đối với phương thức xác thực bằng OTP, NĐT phải chờ gửi mã OTP. Đối với phương thức áp dụng chữ ký số sẽ có độ trễ thời gian nhất định. Do đó, CTCK lo ngại tốc độ đặt lệnh cho khách hàng ?

Trả lời: Nếu chỉ quan tâm đến tốc độ giao dịch và sự thuận tiện mà không quan tâm đến an toàn bảo mật trong giao dịch sẽ không đảm bảo quyền lợi của nhà đầu tư và bản thân CTCK nếu có xảy ra tranh chấp. Qua công tác kiểm tra tình hình cung cấp dịch vụ GDTT tại các CTCK, UBCK nhận thấy nhiều trường hợp áp dụng giải pháp xác thực hai yếu tố nhà đầu tư vẫn chấp nhận. Việc áp dụng giải pháp chữ ký số với tốc độ 0,6s/giao dịch sẽ không ảnh hưởng đến tốc độ giao dịch.

Câu 8: Để đáp ứng yêu cầu hệ thống phải tích hợp giải pháp sử dụng chứng thư số, chữ ký số thì CTCK phải đầu tư khá lớn. Việc áp dụng xác thực hai nhân tố (ví dụ như OTP) cũng phổ biến và tương đối bảo mật cho KH. Vậy công ty có thể chỉ cung cấp giải pháp xác thực 2 nhân tố mà không cần cung cấp giải pháp chữ ký số được không ?

Trả lời: Thông tư quy định CTCK phải tích hợp giải pháp có sử dụng chứng thư số, chữ ký số vào hệ thống GDTT của CTCK. Ngoài ra, CTCK có thể tích hợp giải pháp xác thực khác cho hệ thống GDTT của CTCK theo quy định tại Khoản 1 Điều 8. Nhà đầu tư được quyền lựa chọn một trong các giải pháp xác thực sử dụng chữ ký số hoặc giải pháp xác thực khác do CTCK cung cấp để xác thực đặt lệnh.

Câu 9: Việc mở chứng thư số do khách hàng tự thực hiện hay phải có hợp đồng ba bên giữa CTCK, tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng và khách hàng?

Trả lời: Việc này do các bên tự thỏa thuận với nhau.

Câu 10: Hệ thống GDCKTT của công ty có tích hợp CA vào từng lệnh đặt không? Việc tích hợp có gây ảnh hưởng tới tốc độ của hệ thống hay không ?

Trả lời: Lệnh đặt có tích hợp chữ ký số. CTCK và tổ chức cung cấp dịch vụ chứng thực chữ ký số cần thống nhất giải pháp trong quá trình áp dụng và phải đảm bảo nội dung của phiếu lệnh. Việc ảnh hưởng đến tốc độ phụ thuộc vào giải pháp của nhà cung cấp dịch vụ. Với giải pháp tốt thì tốc độ đặt lệnh có sử dụng chữ ký số sẽ nhanh hơn so với lệnh đặt sử dụng thẻ ma trận hoặc thẻ Token.

Câu 11: Để tạo điều kiện thuận tiện cho khách hàng xác thực các lệnh giao dịch đã đặt (không qua đặt lệnh trực tuyến, đặt lệnh qua điện thoại có ghi âm), khách hàng có thể truy cập vào hệ thống giao dịch bằng thông tin xác thực của khách hàng và xác nhận lại các lệnh đã đặt. Vậy việc xác nhận này có được xem là chứng từ điện tử hoặc phiếu lệnh điện tử hợp lệ theo quy định hay không?

Trả lời: Thông tư quy định về hoạt động giao dịch chứng khoán trực tuyến nên việc nhà đầu tư đặt lệnh không qua kênh trực tuyến sẽ không thuộc phạm vi của Thông tư. Do đó, việc nhà đầu tư xác nhận lại các lệnh đã đặt trước đó không được xem là chứng từ điện tử hoặc phiếu lệnh điện tử như Thông tư đã quy định.

Câu 12: CTCK có được sử dụng hình thức xác thực khách hàng thông qua bên thứ 3 hay không? VD trường hợp khách hàng sử dụng hệ thống xác thực GDTT Bloomberg, nhà cung cấp Bloomberg trực tiếp cung cấp dịch vụ cho khách hàng và CTCK. CTCK là đơn vị cung cấp dịch vụ GDTT cho khách hàng thông qua hệ thống Bloomberg có được công nhận như một kênh trực tuyến hay không?

Trả lời: Công ty chứng khoán ký hợp đồng với khách hàng và nhà cung cấp Bloomberg để cung cấp dịch vụ giao dịch chứng khoán trực tuyến là do thỏa thuận giữa các bên tham gia vào hoạt động giao dịch điện tử trên thị trường chứng khoán Việt Nam. Tuy nhiên, các hoạt động này phải đảm bảo tuân thủ theo đúng các quy định về giao dịch điện tử trên thị trường chứng khoán Việt Nam.

Câu 13: Hệ thống GDCKTT phải tích hợp giải pháp có sử dụng chứng thư số, chữ ký số của tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng. Như vậy, CTCK có bắt buộc phải tích hợp cả 2 giải pháp chứng thư số và chữ ký số hay chỉ cần tích hợp 1 trong 2 giải pháp ? Danh sách các tổ chức cung cấp dịch vụ chứng thực chữ ký số công cộng ?

Trả lời: Công ty chứng khoán xác thực danh tính của một nhà đầu tư bằng chứng thư số của nhà đầu tư đó đồng thời cung cấp công cụ (ứng dụng) để nhà đầu tư ký phiếu lệnh điện tử bằng chữ ký số (được tạo ra trên cơ sở chứng thư số). Vì vậy Thông tư 134 có quy định như tại điểm đ khoản 1 Điều 6. Và do đó hệ thống GDCKTT của công ty phải tích hợp đồng thời giải pháp chứng thư số và chữ ký số.

Hiện nay có 09 doanh nghiệp được Bộ Thông tin và truyền thông (TTTT) cấp giấy phép cung cấp Dịch vụ chứng thực chữ ký số công cộng. Chi tiết công ty có thể tham khảo tại cổng thông tin điện tử của Bộ TTTT (http://mic.gov.vn/solieubaocao/Pages/TinTuc/116271/Thong-tin-cac-Doanh-nghiep-uoc-cap-giay-phep-Dich-vu-Chung-thuc-Chu-ky-so-cong-cong.html)

Các tin khác