Chứng nhận hợp quy sản phẩm mật mã dân sự
2024-03-20 03:20:03
1. Căn cứ pháp lý và sự cần thiết phải chứng nhận hợp quy sản phẩm mật mã dân sự
Chứng nhận hợp quy là hoạt động đánh giá sự phù hợp của sản phẩm, dịch vụ đối với quy chuẩn kỹ thuật quốc gia được áp dụng. Việc chứng nhận hợp quy đối với sản phẩm mật mã dân sự đã được đề cập đến trong Luật An toàn thông tin mạng số 86/2015/QH13 nhưng tính đến tháng 4 năm 2022 vẫn chưa được áp dụng trong thực tế do các cơ quan chức năng cần thời gian để ban hành các văn bản tạo hành lang pháp lý và soạn thảo các quy chuẩn kỹ thuật quốc gia tương ứng. Đối với doanh nghiệp nhập khẩu và người tiêu dung, việc chứng nhận hợp quy sản phẩm mật mã dân sự tạo ra hàng rào kỹ thuật để lọc các sản phẩm kém chất lượng, qua đó cung cấp lợi ích cho người tiêu dung, được sử dụng các sản phẩm có chất lượng đáp ứng quy chuẩn (sản phẩm được hợp quy). Các căn cứ pháp lý về chứng nhận hợp quy sản phẩm mật mã dân sự bao gồm:
- 1.1. Khoản 3, Điều 34 của Luật An toàn thông tin mạng số 86/2015/QH13:
Hồ sơ đề nghị cấp giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự bao gồm các tài liệu dưới đây:
- Đơn đề nghị cấp giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự
Chú thích: Đơn đề nghị theo Biểu mẫu số 04 kèm theo Nghị định số 58/ 2016/ND-CP (được sửa đổi và bổ sung bởi Nghị định số 53/2018/ND-CP)
- Bản sao Giấy phép kinh doanh sản phẩm, dịch vụ mật mã dân sự
Chú thích: Giấy phép kinh doanh sản phẩm phải bao gồm sản phẩm doanh nghiệp dự định nhập khẩu. Nếu giấy phép chưa có, doanh nghiệp cần làm thủ tục bổ sung giấy phép kinh doanh sản phẩm mật mã dân sự trước)
- Bản sao Giấy chứng nhận hợp quy đối với sản phẩm mật mã dân sự nhập khẩu
1.2. Các quy chuẩn kỹ thuật quốc gia về mật mã dân sự BQP đã ban hành:
QCVN 4:2016/BQP: Quy chuẩn kỹ thuật quốc gia về mật mã dân sự sử dụng trong lĩnh vực ngân hàng.
QCVN 5:2016/BQP: Chữ ký số sử dụng trong lĩnh vực ngân hàng.
QCVN 6:2016/BQP: Quản lý khóa sử dụng trong lĩnh vực ngân hàng.
QCVN 12:2022/BQP: Đặc tính kỹ thuật mật mã sản phẩm sử dụng công nghệ IPsec và TLS
QCVN xx:2023/BQP: Đặc tính kỹ thuật mật mã sử dụng trong sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu trữ.
Theo đó:
- Tất cả các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật luồng IP sử dụng công nghệ IPsec và TLS sẽ thuộc phạm vi bắt buộc phải chứng nhận hợp quy theo QCVN 12:2022/BQP
- Tất cả các sản phẩm mật mã dân sự thuộc nhóm sản phẩm bảo mật dữ liệu lưu trữ sẽ phải chứng nhận hợp quy theo QCVN xx:2023/BQP
- Căn cứ theo mô hình hoạt động và thông số kỹ thuật (về phần mã hóa) của sản phẩm, các sản phẩm mật mã dân sự sử dụng trong lĩnh vực ngân hàng cũng đồng thời phải đáp ứng các quy chuẩn QCVN 4:2016/BQP, QCVN 5:2016/BQP, QCVN 6:2016/BQP đã nêu. Trong giai đoạn thẩm định hồ sơ xin giấy phép kinh doanh sản phẩm mật mã dân sự, các sản phẩm sử dụng trong lĩnh vực ngân hàng mà không đáp ứng được các quy chuẩn này thì sẽ không được cấp phép, hoặc được cấp phép nhưng không bao gồm lĩnh vực sử dụng cho ngân hàng.
2. Những sản phẩm điển hình phải chứng nhận hợp quy mật mã dân sự
- Nhóm sản phẩm mật mã dân sự bảo mật luồng IP sử dụng IPsec và TLS
Căn cứ theo QCVN 12:2022/BQP, các sản phẩm mật mã dân sự có đặc tính kỹ thuật mật mã bảo mật luồng IP sử dụng công nghệ IPsec và TLS sẽ thuộc diện phải chứng nhận hợp quy mật mã dân sự theo QCVN 12:2022/BTTTT. Nhóm sản phẩm mật mã dân sự thuộc nhóm này rất phổ biến và chiếm tỷ trọng lớn nhất trong tổng số các sản phẩm mật mã dân sự đã được cấp giấy phép kinh doanh mật mã dân sự. Các sản phẩm điển hình thuộc nhóm này như sau:
- Thiết bị tường lửa (firewall) (gần như 100% firewall sẽ phải chứng nhận hợp quy theo QCVN 12:2022/BQP)
- Một số thiết bị định tuyến (Router) có tính năng bảo mật luồng IP hoặc bảo mật kênh
- Một số thiết bị trong mạng nội bộ không dây Wi-fi có tính năng bảo mật luồng IP hoặc bảo mật kênh
- Một số thiết bị cổng loại bảo mật chuyên dung (Security Gateway) có sử dụng công nghệ IPsec hoặc TLS
- Một số thiết bị chuyển mạch có tính năng bảo mật cao, thường là L3 Switch có sử dụng công nghệ IPsec hoặc TLS
- Một số loại appliances (máy xử lý dữ liệu tự động) chuyên dung có sử dụng công nghệ IPsec hoặc TLS
- Nhóm sản phẩm mật mã dân sự bảo mật dữ liệu lưu trữ
Sản phẩm mật mã dân sự bảo mật dữ liệu lưu trữ, như tên gọi, có chức năng chính để lưu trữ dữ liệu và sử dụng kỹ thuật mật mã để bảo mật các dữ liệu lưu trữ. Các sản phẩm mật mã dân sự điển hình trong nhóm này bao gồm:
- Các máy chủ lưu trữ (storage server), bộ lưu trữ (storage system)
- Các token sử dụng để xác thực thanh toán, sử dụng trong lĩnh vực ngân hàng
- Một số sản phẩm công nghệ thông tin khác có bộ nhớ lưu trữ và sử dụng kỹ thuật mật mã để bảo vệ dữ liệu lưu trữ
3. Ai phải thực hiện chứng nhận hợp quy cho sản phẩm mật mã dân sự?
- Hãng sản xuất (trong nước hoặc nước ngoài)
Hãng sản xuất là đối tượng chính phải đảm bảo sản phẩm có đặc tính kỹ thuật đạt các mức giới hạn của đặc tính kỹ thuật mật mã quy định tại các Quy chuẩn kỹ thuật. Hãng sản xuất trong nước là tổ chức phải thực hiện thủ tục chứng nhận hợp quy đối với sản phẩm được sản xuất trong nước. Hãng sản xuất nước ngoài là tổ chức đảm bảo chất lượng của sản phẩm, hỗ trợ các công ty nhập khẩu và nhà phân phối thực hiện các thủ tục chứng nhận hợp quy cho sản phẩm mật mã dân sự.
- Thương nhân nhập khẩu và phân phối sản phẩm
Đối với hàng hóa là sản phẩm mật mã dân sự nhập khẩu từ nước ngoài, thương nhân nhập khẩu là đối tượng phải thực hiện các thủ tục xin giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự. Giấy chứng nhận hợp quy là một tài liệu bắt buộc phải có trong bộ hồ sơ xin giấy phép xuất nhập khẩu sản phẩm mật mã dân sự nên thương nhân nhập khẩu và phân phối là đối tượng phải thực hiện thủ tục chứng nhận hợp quy.
- Thương nhân phân phối (nhưng không nhập khẩu)
Thương nhân phân phối (bán buôn, bán lẻ) nhưng không thực hiện hoạt động xuất nhập khẩu hàng hóa sản phẩm mật mã dân sự nên không phải là đối tượng đứng ra thực hiện thủ tục chứng nhận hợp quy cho sản phẩm mật mã dân sự. Tuy nhiên, thương nhân phân phối (bán buôn, bán lẻ) có tham gia vào hoạt động kinh doanh sản phẩm mật mã dân sự nên vẫn phải chịu sự quản lý của cơ quan quản lý nhà nước, phải có giấy phép kinh doanh sản phẩm mật mã dân sự. Khi thương nhân phân phối mua sản phẩm mật mã dân sự bảo mật dữ liệu lưu trữ từ thương nhân nhập khẩu hoặc hãng sản xuất trong nước, thương nhân phân phối (bán buôn, bán lẻ) phải đề nghị thương nhân nhập khẩu hoặc hãng sản xuất trong nước cung cấp giấy chứng nhận hợp quy cho sản phẩm theo quy định.
- Tổ chức, cá nhân sử dụng sản phẩm (end-user)
Tổ chức, cá nhân sử dụng sản phẩm (end-user) không phải là người thực hiện hoạt động kinh doanh. Tuy nhiên, căn cứ theo Khoản 4, Điều 35 của Luật An toàn thông tin mạng, end-user có nghĩa vụ sau:
“Tổ chức, cá nhân sử dụng sản phẩm mật mã dân sự không do doanh nghiệp được cấp phép kinh doanh sản phẩm mật mã dân sự cung cấp phải khai báo với Ban Cơ yếu Chính phủ, trừ cơ quan đại diện ngoại giao, cơ quan lãnh sự của nước ngoài và cơ quan đại diện của tổ chức quốc tế liên Chính phủ tại Việt Nam”.
Do vậy, các tổ chức, cá nhân sử dụng sản phẩm chỉ nên mua sản phẩm từ các nhà phân phối có giấy phép kinh doanh sản phẩm mật mã dân sự, và cần đề nghị nhà phân phối cung cấp giấy chứng nhận hợp quy cho sản phẩm mật mã dân sự để đảm bảo tuân thủ đúng theo các quy định của Pháp luật có liên quan.
4. Quy trình thực hiện chứng nhận hợp quy sản phẩm mật mã dân sự
Quy trình thực hiện chứng nhận hợp quy sản phẩm mật mã dân sự sẽ phụ thuộc vào phương thức chứng nhận hợp quy được áp dụng là một trong 8 phương thức đánh giá sự phù hợp (chứng nhận hợp quy) quy định tại Thông tư số 28/2012/TT-BKHCN. Hiện tại chúng tôi chưa có nhiều thông tin về phương thức chứng nhận hợp quy được áp dụng do vậy cũng chưa đánh giá được quy trình thực hiện việc chứng nhận hợp quy sản phẩm mật mã dân sự. Chúng tôi sẽ cập nhật quy trình thực hiện ngay sau khi cơ quan có thẩm quyền ban hành thông tin chính thức về quy trình thực hiện chứng nhận.
5. Chi phí chứng nhận hợp quy sản phẩm mật mã dân sự là bao nhiêu?
Theo thông tin sơ bộ, chi phí chứng nhận hợp quy sản phẩm mật mã dân sự bao gồm 2 phần:
- Phí thử nghiệm sản phẩm mật mã dân sự
Phí thử nghiệm sản phẩm theo quy chuẩn kỹ thuật quốc gia: dự kiến sẽ tùy theo thông số kỹ thuật của sản phẩm, đơn giá cho phòng thử nghiệm ban hành.
- Phí chứng nhận hợp quy sản phâm mật mã dân sự
Căn cứ theo Thông tư số 249/2016/TT-BTC của Bộ Tài chính Phí chứng nhận hợp quy sản phẩm mật mã dân sự là 3.000.000 VNĐ/ sản phẩm
- Các loại chi phí khác có liên quan đến chứng nhận hợp quy
Ngoài các khoản chi phí trên, doanh nghiệp cần dự trù chi phí vận chuyển thiết bị mẫu tới phòng thử nghiệm và chi phí nâng hạ sản phẩm mẫu. Trong trường hợp doanh nghiệp có nhu cầu sử dụng dịch vụ tư vấn và hỗ trợ thực hiện dịch vụ thì sẽ có thêm phần phí dịch vụ tư vấn.
6. Giấy chứng nhận hợp quy sản phẩm mật mã dân sự có thời hạn hiệu lực bao lâu?
Căn cứ theo phương thức chứng nhận hợp quy được áp dụng thì giấy chứng nhận hợp quy sản phẩm mật mã dân sự có thời hạn hiệu lực tối đa là 03 năm (với phương thức chứng nhận hợp quy bằng cách thử nghiệm mẫu điển hình), hoặc tối thiểu là giấy chứng nhận hợp quy cho hiệu lực cho một lô hàng (với phương thức 7 – Thử nghiệm đánh giá lô sản phẩm hàng hóa). Thời hạn hiệu lực của giấy chứng nhận hợp quy sản phẩm mật mã dân sự sẽ được làm rõ khi cơ quan quản lý nhà nước ban hành văn bản hướng dẫn các phương thức đánh giá sự phù hợp đối với sản phẩm mật mã dân sự.
7. Tổ chức thử nghiệm và cơ quan chứng nhận hợp quy cho sản phẩm mật mã dân sự
Ở thời điểm hiện tại thì mới chỉ có Phòng thử nghiệm Cục Quản lý mật mã dân sự và Kiểm định sản phẩm mật mã (NACIS) có phạm vi thử nghiệm sản phẩm mật mã. Đồng thời Cục QLMMDS và KĐSPMM – Ban Cơ Yếu chính phủ cũng là cơ quan quản lý nhà nước, là tổ chức chứng nhận hợp quy đối với các sản phẩm, thiết bị mật mã dân sự.
8. TGIMEX có thể giúp gì cho bạn trong thủ tục nhập khẩu và chứng nhận hợp quy?
Với nhiều năm kinh nghiệm trong việc thực hiện xin giấy phép kinh doanh và giấy phép xuất nhập khẩu sản phẩm mật mã dân sự cho nhiều hãng sản xuất lớn trên thế giới và nhiều doanh nghiệp lớn của Việt Nam, chúng tôi có thể hỗ trỡ bạn các thủ tục như sau:
- Phân loại các sản phẩm công nghệ thông tin dự định nhập khẩu thành các nhóm để xác định phương án nhập khẩu tốt nhất, bao gồm:
+ Nhóm sản phẩm có sử dụng kỹ thuật mật mã nhưng không được coi là thuộc diện phải quản lý. Đối với nhóm sản phẩm này doanh nghiệp nên xin văn bản xác nhận sản phẩm không phải xin giấy phép mật mã dân sự để thuận tiện trong khâu thông quan
+ Nhóm sản phẩm mật mã dân sự thuộc diện phải xin giấy phép kinh doanh mật mã dân sự nhưng không phải chứng nhận hợp quy theo các quy chuẩn về kỹ thuật mật mã dân sự.
+ Nhóm sản phẩm vừa phải xin giấy phép kinh doanh mật mã dân sự vừa phải chứng nhận hợp quy và xin giấy phép xuất khẩu, nhập khẩu sản phẩm mật mã dân sự.
- Trong trường hợp công ty nhập khẩu chưa có giấy phép kinh doanh sản phẩm mật mã dân sự, chúng tôi tư vấn hỗ trợ doanh nghiệp đánh giá điều kiện hiện trạng và phương hướng khắc phục để đáp ứng được các yêu cầu, điều kiện cần có để được cấp phép.
- Tư vấn hỗ trợ doanh nghiệp chuẩn bị và nộp các hồ sơ để được cấp giấy phép trong thời gian nhanh nhất đúng theo yêu cầu của cơ quan chức năng.
- Đại diện cho doanh nghiệp trong việc thực hiện các thủ tục xin giấy phép mật mã dân sự, thử nghiệm sản phẩm mật mã dân sự, chứng nhận hợp quy sản phẩm mật mã dân sự
- Hỗ trợ các thủ tục pháp lý khác liên quan đến sản phẩm nhập khẩu như việc xin các giấy phép khác như giấy chứng nhận hợp quy ICT của Bộ Thông tin và Truyền thông (nếu áp dụng).