Chứng chỉ điện tử hội đủ điều kiện doanh nghiệp: hướng dẫn năm 2026

Tại sao chứng chỉ điện tử hội đủ điều kiện trở nên bắt buộc đối với các doanh nghiệp

Tại thời điểm việc hủy giấy tờ các quy trình hợp đồng đang tăng tốc trong tất cả các lĩnh vực, vấn đề của chứng chỉ điện tử hội đủ điều kiện nổi lên như một thách thức chiến lược cho các phòng ban pháp lý, các CIO và các ban lãnh đạo tổng quát. Theo báo cáo thường niên của ANSSI 2024, hơn 78% các doanh nghiệp vừa và nhỏ Pháp đã áp dụng chữ ký điện tử hội đủ điều kiện đã giảm thời gian ký hợp đồng của họ hơn 60%. Tuy nhiên, nhiều người vẫn còn nhầm lẫn giữa chữ ký đơn giản, nâng cao và hội đủ điều kiện — có nguy cơ làm cho các hành động pháp lý của họ bị tranh chấp. Bài viết này hướng dẫn bạn từng bước để hiểu chứng chỉ điện tử hội đủ điều kiện là gì, cách lấy được nó tuân theo khung RGS và eIDAS, và cách triển khai nó một cách hiệu quả trong tổ chức của bạn.

Chứng chỉ điện tử hội đủ điều kiện là gì?

Chứng chỉ điện tử là một tệp số được cấp bởi Cơ quan Cấp chứng chỉ (AC) liên kết danh tính của một người vật lý hoặc pháp lý với một khóa mã hóa công khai. Nó tạo thành phần quan trọng cho phép bên thứ ba xác minh tính xác thực và toàn vẹn của chữ ký số.

Thuật ngữ "hội đủ điều kiện" đề cập đến một định nghĩa chính xác từ quy định Châu Âu eIDAS (n°910/2014, điều 28): chứng chỉ phải được cấp bởi Nhà cung cấp dịch vụ tin cậy hội đủ điều kiện (PSCQ), được ghi danh trên danh sách tin cậy quốc gia (tại Pháp, được công bố bởi ANSSI). Ngoài ra, nó phải tuân thủ các yêu cầu kỹ thuật của tiêu chuẩn ETSI EN 319 411-2, điều này quy định các chính sách và thực hành cấp chứng chỉ.

Trong thực tế, chứng chỉ hội đủ điều kiện đảm bảo:

• Danh tính được xác minh của người ký (xác minh tài liệu trực tiếp hoặc bằng phương tiện tương đương được phê duyệt);
• Tính toàn vẹn của tài liệu đã ký (mọi sửa đổi sau đó có thể phát hiện được);
• Không thể từ chối (người ký không thể phủ nhận đã ký).

Sự khác biệt giữa chữ ký đơn giản, nâng cao và hội đủ điều kiện

Quy định eIDAS phân biệt ba cấp độ chữ ký điện tử, mỗi cấp độ liên kết với một mức chứng chỉ:

| Cấp độ | Chứng chỉ bắt buộc | Giá trị chứng minh | Sử dụng điển hình | |---|---|---|---| | Đơn giản | Không bắt buộc | Yếu | Đơn hàng mua thông thường | | Nâng cao | Chứng chỉ nâng cao (PSCQ) | Trung bình | Hợp đồng thương mại B2B | | Hội đủ điều kiện | Chứng chỉ hội đủ điều kiện (PSCQ hội đủ điều kiện) | Tối đa, tương đương viết tay | Hành động notari, đấu thầu công, nhân sự nhạy cảm |

Đối với chữ ký hội đủ điều kiện — cấp duy nhất được hưởng giả định pháp lý tương đương với chữ ký viết tay (điều 1367 Bộ luật dân sự) — chứng chỉ hội đủ điều kiện là bắt buộc. Để biết thêm về sự khác biệt của các cấp độ, hãy xem hướng dẫn đầy đủ về chữ ký điện tử.

---

Khung RGS: Đặc thù Pháp cần biết

Tại Pháp, Tài liệu Tham chiếu Bảo mật Tổng quát (RGS), được thiết lập bởi sắc lệnh n°2010-112 và được ANSSI cập nhật thường xuyên, xác định các yêu cầu bảo mật áp dụng cho các hệ thống thông tin của các cơ quan quản lý. Đối với các doanh nghiệp ký hợp đồng với các thực thể công cộng (đấu thầu công, thủ tục kỹ thuật số), việc tuân thủ RGS thường là một nghĩa vụ hợp đồng hoặc quy định.

Các cấp độ RGS áp dụng cho chứng chỉ

RGS xác định ba sao của kỳ tích cho các chứng chỉ:

• RGS* (một sao): cấp độ cơ bản, thích hợp cho các sử dụng thông thường có độ nhạy cảm thấp;
• RGS (hai sao)**: cấp độ trung gian, bắt buộc đối với hầu hết các thủ tục kỹ thuật số hành chính;
• RGS (ba sao)*: cấp độ cao, cho các hành động có rủi ro pháp lý hoặc tài chính lớn.

Đối với đấu thầu công dématérialisé thông qua hồ sơ người mua, sắc lệnh n°2016-360 (các điều 39 và 40) thường bắt buộc chữ ký cấp độ RGS tối thiểu, điều này ngụ ý chứng chỉ có kỳ tích tương đương.

Sự kết hợp giữa RGS và eIDAS

Kể từ khi áp dụng quy định eIDAS, hai tài liệu tham chiếu cùng tồn tại. Chứng chỉ hội đủ điều kiện theo nghĩa eIDAS được coi là thỏa mãn các yêu cầu RGS** trong phần lớn các trường hợp. ANSSI đã công bố bảng tương ứng cho phép đảm bảo khả năng tương thích. Do đó, nên dành cho các doanh nghiệp làm việc với cả đối tác tư nhân và công cộng, ưu tiên chứng chỉ hội đủ điều kiện eIDAS được cấp bởi PSCQ được ghi danh trên danh sách tin cậy Pháp — điều này đồng thời bao gồm cả hai tài liệu tham chiếu.

Để tìm hiểu sâu hơn về quy định Châu Âu, hướng dẫn eIDAS 2.0 của chúng tôi chi tiết các phát triển chính dự kiến và tác động của chúng đối với các doanh nghiệp Pháp.

---

Cách lấy chứng chỉ điện tử hội đủ điều kiện: quy trình từng bước

Lấy chứng chỉ điện tử hội đủ điều kiện không phải là một thủ tục tùy tiện: nó bao gồm xác minh danh tính của người yêu cầu một cách nghiêm ngặt và, đối với một người pháp lý, khả năng đại diện pháp lý của họ. Dưới đây là các bước chính.

Bước 1: Xác định nhà cung cấp dịch vụ tin cậy hội đủ điều kiện thích hợp

Tại Pháp, các PSCQ được phép phát hành chứng chỉ hội đủ điều kiện được liệt kê trên Danh sách trạng thái dịch vụ tin cậy (TSL) được công bố bởi ANSSI (có sẵn trên cổng thông tin esignature.gouv.fr). Trong số những diễn viên có mặt trên danh sách này, người ta tìm thấy đặc biệt là các AC như CertEurope, Certinomis (công ty con của La Poste), Keynectis hoặc các nhà cung cấp Châu Âu được công nhận theo nguyên tắc công nhận lẫn nhau eIDAS.

Tiêu chí lựa chọn để kiểm tra:

• Hiện diện thực tế trên TSL Pháp và/hoặc Châu Âu;
• Định dạng chứng chỉ được đề xuất (phần mềm, trên thẻ thông minh, HSM đám mây);
• Khả năng tương thích với cơ sở hạ tầng IT hiện tại của bạn;
• Giá cả và thời gian hiệu lực (thường 1 đến 3 năm);
• Mức hỗ trợ và thời gian đăng ký.

Bước 2: Thành lập tập tin đăng ký

Đối với một doanh nghiệp, yêu cầu chứng chỉ hội đủ điều kiện cần phải xuất trình các tài liệu chứng minh cả danh tính của người mang (người vật lý) và khả năng của họ đại diện cho người pháp lý. Các tài liệu thường được yêu cầu là:

• Tài liệu nhận dạng chính thức của người mang (hộ chiếu, CNI);
• Trích yêu cầu Kbis dưới 3 tháng (hoặc tương đương đối với hiệp hội, các cơ sở công cộng);
• Ủy quyền nếu người mang không phải là đại diện pháp lý theo điều lệ;
• Biểu mẫu yêu cầu cụ thể cho PSCQ được chọn.

Xác minh danh tính phải được thực hiện trực tiếp trước một Nhà điều hành đăng ký (OE) được PSCQ ủy quyền, hoặc bằng một quy trình xác minh từ xa được phê duyệt (xác định video phù hợp với tiêu chuẩn ETSI TS 119 461).

Bước 3: Giao nhận và kích hoạt chứng chỉ

Tùy theo định dạng được chọn, chứng chỉ được giao:

• Trên thiết bị tạo chữ ký hội đủ điều kiện (QSCD): khóa USB mã hóa hoặc thẻ thông minh được chứng nhận Tiêu chí chung EAL 4+;
• Thông qua dịch vụ ký từ xa (Chữ ký điện tử hội đủ điều kiện từ xa — RQES) được quản lý bởi PSCQ, nơi khóa riêng được lưu trữ trong HSM (Mô-đun bảo mật phần cứng) được chứng nhận theo tiêu chuẩn ETSI EN 419 241.

Việc triển khai một dịch vụ RQES ngày nay là giải pháp được áp dụng rộng rãi nhất bởi các doanh nghiệp, vì nó tránh được quản lý các hỗ trợ mã hóa vật lý đồng thời duy trì tuân thủ hội đủ điều kiện. So sánh các giải pháp chữ ký điện tử để xác định mô hình phù hợp nhất với bối cảnh của bạn.

Bước 4: Tích hợp vào các quy trình kinh doanh của bạn

Khi đã lấy được chứng chỉ, việc tích hợp nó vào các luồng tài liệu của doanh nghiệp thường diễn ra thông qua nền tảng SaaS chữ ký điện tử. Nó phải tương thích với các tiêu chuẩn ETSI (XAdES, PAdES, CAdES) để đảm bảo khả năng tương tác và tính bền vững của bằng chứng số. Bài viết chuyên dụng của chúng tôi về chữ ký điện tử trong doanh nghiệp sẽ giúp bạn cấu trúc triển khai này.

---

Chi phí, hiệu lực và gia hạn: những gì các doanh nghiệp cần dự đoán

Phạm vi giá năm 2026

Giá của chứng chỉ hội đủ điều kiện thay đổi đáng kể tùy theo định dạng và nhà cung cấp:

• Chứng chỉ trên hỗ trợ vật lý (khóa USB/thẻ): từ 80 € đến 250 € chưa gồm thuế mỗi người mang và mỗi năm;
• Chứng chỉ hội đủ điều kiện đám mây (RQES): từ 40 € đến 150 € chưa gồm thuế mỗi người mang và mỗi năm, tùy theo khối lượng;
• Gói doanh nghiệp: giảm giá đáng kể áp dụng từ 10 người mang, có thể đạt 30 đến 40% giá đơn vị.

Những chi phí này cần được so với các tiết kiệm được tạo ra: loại bỏ in ấn, bưu phí, thời gian xử lý bưu điện và tranh chấp liên quan đến chữ ký bị tranh cãi.

Thời gian hiệu lực và gia hạn

Hiệu lực của chứng chỉ hội đủ điều kiện thường được xác định là 1, 2 hoặc 3 năm theo lời mời gọi được đăng ký. Khi hết hạn, các tài liệu đã ký trước đó vẫn hợp lệ (với điều kiện toàn vẹn của chúng được bảo vệ thông qua dịch vụ dấu thời gian hội đủ điều kiện), nhưng các hành động mới không thể được ký bằng chứng chỉ hết hạn. Do đó, điều bắt buộc là phải triển khai quy trình giám sát và gia hạn trước thời hạn — lý tưởng nhất là 60 ngày trước ngày hết hạn.

Thu hồi và quản lý sự cố

Trong trường hợp khóa riêng bị xâm phạm (mất, trộm hỗ trợ, nghi ngờ tiết lộ), chứng chỉ phải được thu hồi ngay lập tức với PSCQ. Nó công bố thu hồi trong Danh sách thu hồi chứng chỉ (CRL) hoặc thông qua giao thức OCSP, làm cho mọi chữ ký tiếp theo bằng chứng chỉ này không hợp lệ. Chính sách bảo mật nội bộ do đó phải cung cấp một điểm liên hệ chuyên dụng và thời hạn cảnh báo dưới 24 giờ.

---

Các thực hành tốt nhất để triển khai thành công trong doanh nghiệp

Quản trị và các vai trò nội bộ

Một triển khai thành công dựa trên quản trị rõ ràng. Nên chỉ định:

• Một người chịu trách nhiệm PKI (Cơ sở hạ tầng khóa công cộng) bên IT, chịu trách nhiệm về mối quan hệ với PSCQ và theo dõi gia hạn;
• Một người tham khảo pháp lý xác nhận các trường hợp sử dụng yêu cầu chữ ký hội đủ điều kiện (vs nâng cao);
• Quản trị viên được ủy quyền từng phòng ban để quản lý hoạt động các người mang.

Đào tạo và quản lý thay đổi

Áp dụng chứng chỉ hội đủ điều kiện không đủ: các cộng sự phải hiểu cách sử dụng chứng chỉ của họ, khi nào kích hoạt, và cách phản ứng trong trường hợp sự cố. Một kế hoạch đào tạo ngắn (1 đến 2 giờ) và các quy trình được ghi lại giảm đáng kể những lỗi sử dụng và các vé hỗ trợ.

Kiểm toán và tính theo dõi được

Để đáp ứng các yêu cầu chứng minh, giữ nhật ký kiểm toán có dấu thời gian của mỗi chữ ký được thực hiện: danh tính của người ký, dấu vân tay của tài liệu, ngày/giờ được chứng nhận, định danh chứng chỉ. Các dữ liệu này tạo thành cơ sở của chuỗi bằng chứng trong trường hợp tranh chấp. Tiêu chuẩn ETSI EN 319 132 (XAdES) cung cấp các định dạng chữ ký bao gồm sẵn các thông tin này.

Khung pháp lý áp dụng cho chứng chỉ điện tử hội đủ điều kiện

Bộ luật dân sự và giá trị chứng minh

Theo luật Pháp, điều 1366 của Bộ luật dân sự đặt nguyên tắc tương đương giữa bản ghi điện tử và bản ghi giấy, với điều kiện rằng "danh tính của người phát hành được đảm bảo một cách thích đáng và nó được thiết lập và bảo quản trong những điều kiện loại để đảm bảo tính toàn vẹn của nó". Điều 1367 đoạn 2 làm rõ rằng chữ ký điện tử hội đủ điều kiện được hưởng giả định độ tin cậy: đó là bên tranh chấp chữ ký phải chứng minh điều ngược lại, đảo ngược do đó gánh nặng chứng minh có lợi cho người ký.

Quy định eIDAS n°910/2014

Quy định Châu Âu eIDAS (n°910/2014), trực tiếp áp dụng ở tất cả các thành viên kể từ 1 tháng 7 năm 2016, tạo thành nền tảng siêu quốc gia. Điều 25(2) của nó qui định rằng "chữ ký điện tử hội đủ điều kiện có hiệu lực pháp lý tương đương với hiệu lực của chữ ký viết tay". Các điều 28 và 29 xác định các yêu cầu áp dụng cho chứng chỉ hội đủ điều kiện và các thiết bị tạo chữ ký hội đủ điều kiện (QSCD). Phụ lục I liệt kê các nội dung bắt buộc của chứng chỉ hội đủ điều kiện (OID của chính sách, danh tính PSCQ, khóa công khai, ngày hiệu lực, v.v.).

Các phát triển eIDAS 2.0

Quy định eIDAS 2.0 (quy định UE 2024/1183, có hiệu lực vào 20 tháng 5 năm 2024) giới thiệu ví tiền điện tử nhận dạng Châu Âu (EUDIW) và tăng cường các yêu cầu về khả năng tiếp cận các dịch vụ tin cậy hội đủ điều kiện. Các doanh nghiệp sẽ phải dự đoán tích hợp các cơ chế xác định mới này vào năm 2026-2027.

Các tiêu chuẩn ETSI áp dụng

• ETSI EN 319 411-2: chính sách và thực hành cho các PSCQ phát hành chứng chỉ hội đủ điều kiện;
• ETSI EN 319 132 (XAdES) và ETSI EN 319 122 (CAdES), ETSI EN 319 162 (PAdES): định dạng chữ ký điện tử nâng cao và hội đủ điều kiện;
• ETSI EN 419 241: yêu cầu cho các máy chủ chữ ký (RQES).

GDPR và bảo vệ dữ liệu

Xử lý dữ liệu cá nhân trong khung đăng ký (xác minh danh tính, thu thập tài liệu) tuân theo GDPR n°2016/679. PSCQ và doanh nghiệp khách hàng là người chịu trách nhiệm chung về xử lý hoặc trong mối quan hệ người chịu trách nhiệm/bên xử lý phụ tùy thuộc vào cấu hình. Thỏa thuận xử lý dữ liệu (DPA) tuân thủ điều 28 GDPR phải được ký. Dữ liệu đăng ký phải được giữ trong suốt vòng đời của chứng chỉ cộng với thời hạn quy định áp dụng (5 năm trong các vấn đề hợp đồng).

Chỉ thị NIS2 và bảo mật cơ sở hạ tầng

Chỉ thị NIS2 (2022/2555/UE), được chuyển đổi thành luật Pháp bởi luật n°2024-449, bắt buộc các thực thể thiết yếu và quan trọng phải thực hiện các biện pháp quản lý rủi ro bao gồm bảo mật của chuỗi cung ứng kỹ thuật số. Sử dụng một PSCQ hội đủ điều kiện được ghi danh trên TSL quốc gia tạo thành một thực hành tốt được công nhận để một phần thỏa mãn các yêu cầu này.

Các kịch bản sử dụng: chứng chỉ hội đủ điều kiện trong thực tế

Kịch bản 1: Một công ty luật quản lý các hành động có giá trị chứng minh cao

Một công ty luật quốc tế có khoảng hai mươi cộng sự và cộng tác viên phải thường xuyên ký các hành động chuyển nhượng phần vốn xã hội, giao thức giải quyết tranh chấp và ủy quyền đại lý. Cho đến nay, mỗi hành động cần phải in, ký viết tay, quét và gửi bằng bưu điện — tức là thời gian trung bình từ 4 đến 7 ngày làm việc trên mỗi chu kỳ ký. Sau khi triển khai chứng chỉ hội đủ điều kiện đám mây (RQES) cho mỗi cộng sự, thời gian này được rút ngắn còn dưới 4 giờ cho các hành động không yêu cầu can thiệp công chứng. Công ty ước tính giảm 65% thời gian hành chính liên quan đến quản lý tài liệu, và không ghi nhận bất kỳ tranh cãi về chữ ký nào trong 18 tháng đầu tiên sử dụng. Các giải pháp chữ ký điện tử cho công ty luật do Certyneo đề xuất được tích hợp sẵn trong loại quy trình công việc này.

Kịch bản 2: Một doanh nghiệp vừa và nhỏ ký hợp đồng với những người cho đơn hàng công cộng

Một doanh nghiệp vừa và nhỏ trong lĩnh vực luyện kim, sử dụng khoảng 120 người, thường xuyên tham gia các cuộc đấu thầu công dématérialisé trên các hồ sơ người mua. Nó bị bắt buộc phải ký điện tử các lời mời gọi và hành động cam kết của nó bằng chứng chỉ cấp độ RGS** tối thiểu. Sau khi lấy được hai chứng chỉ hội đủ điều kiện (cho giám đốc tổng quát và một giám đốc thương mại được ủy quyền), doanh nghiệp vừa và nhỏ đã có thể gửi các lời mời gọi của nó trong thời hạn được phân bổ mà không có chuyến đi hoặc gửi bưu điện. Trong một năm, điều này đại diện cho khoảng 35 hồ sơ cuộc đấu thầu, tức là tiết kiệm ước tính khoảng 15 ngày người trên quản lý tài liệu riêng. Tuân thủ eIDAS của chứng chỉ cũng đảm bảo công nhận chữ ký của nó với