eIDAS, GDPR, NIST: Những điều các đội ngũ hiện đại cần biết về tuân thủ chữ ký số

Tuân thủ chữ ký số không còn chỉ là mối quan tâm của các doanh nghiệp lớn — áp dụng cho bất kỳ nhóm nào ký hợp đồng, tuyển dụng khách hàng hoặc chia sẻ tài liệu nhạy cảm trực tuyến. Các khung eIDAS, GDPR, NIST và ESIGN Act đều trả lời cùng một câu hỏi: tài liệu đã ký này có thể được phê duyệt, theo dõi và bảo vệ về mặt pháp lý không?

Hướng dẫn này giải thích những gì mỗi khung yêu cầu, cách chúng tương tác và quy trình ký của bạn cần làm gì để thỏa mãn cả bốn.

eIDAS (Quy định EU 910/2014) xác định ba cấp độ chữ ký: SES (chữ ký điện tử đơn giản), AES (chữ ký điện tử nâng cao) và QES (chữ ký điện tử đủ điều kiện). Đối với hầu hết hợp đồng B2B, AES là cấp độ tối thiểu bắt buộc. QES có hiệu lực pháp lý tương đương chữ ký viết tay ở tất cả các quốc gia thành viên EU.

Tuân thủ eIDAS dựa trên ba điều kiện có thể xác minh: danh tính người ký, tính toàn vẹn tài liệu (qua hash mật mã) và dấu thời gian.

Không thể phủ nhận: nguyên tắc pháp lý theo đó người ký không thể phủ nhận sau này việc đã ký tài liệu. Chaindoc đạt được điều này thông qua PKI (Cơ sở hạ tầng khóa công khai), hash tài liệu và nhật ký kiểm toán chống giả mạo.

GDPR quy định cách dữ liệu cá nhân trong tài liệu đã ký phải được xử lý — bao gồm ai có thể truy cập, cách lưu trữ và thời gian lưu giữ.

Các nguyên tắc GDPR chính cho chữ ký số: tối thiểu hóa dữ liệu, tính toàn vẹn và bảo mật, minh bạch, trách nhiệm giải trình và giới hạn lưu trữ.

Chaindoc lưu trữ hash mật mã on-chain (không có dữ liệu cá nhân) và định danh cá nhân off-chain trong kho lưu trữ được mã hóa. Khi nhận yêu cầu xóa, dữ liệu cá nhân bị xóa khỏi kho off-chain; hash on-chain vẫn còn như bằng chứng giao dịch.

NIST (SP 800-63 cho danh tính kỹ thuật số, SP 800-171 cho thông tin có kiểm soát) cung cấp trụ cột bảo mật hỗ trợ tất cả các khung tuân thủ khác. Nguyên tắc hoạt động: luôn xác minh.

NIST SP 800-63 xác định ba Cấp độ Đảm bảo Xác thực (AAL). Đối với quy trình B2B, AAL2 (xác thực đa yếu tố) là tiêu chuẩn tối thiểu — khiến 2FA trở thành yêu cầu tuân thủ.

Chaindoc triển khai: xác minh danh tính trước khi truy cập, RBAC, nguyên tắc đặc quyền tối thiểu, ghi nhật ký sự kiện liên tục và nhật ký kiểm toán neo vào blockchain.

ESIGN Act (2000) là luật liên bang Hoa Kỳ cấp cho chữ ký điện tử hiệu lực pháp lý tương đương chữ ký viết tay. UETA, được 49 bang áp dụng, là phần bổ sung ở cấp bang.

ESIGN Act trung lập về công nghệ (không có cấp độ được xác định), trong khi eIDAS định nghĩa ba cấp độ cụ thể (SES/AES/QES). Khi hợp đồng liên quan đến các bên từ Hoa Kỳ và EU, quy trình phải đồng thời đáp ứng yêu cầu về ý định và quy kết của ESIGN Act và yêu cầu tính toàn vẹn AES của eIDAS.

Tuân thủ chữ ký số đã trở thành kỳ vọng của người mua. Các nhóm mua sắm doanh nghiệp, khách hàng trong ngành được quản lý và đối tác quốc tế đánh giá quy trình ký của nhà cung cấp như một phần của thẩm định.

Chaindoc tăng tốc phê duyệt bằng cách thay thế yêu cầu xác minh thủ công bằng quyền truy cập nhật ký kiểm toán tự động, cung cấp quy kết danh tính đã xác minh cho mỗi sự kiện ký và duy trì tiêu chuẩn tài liệu nhất quán trong suốt vòng đời thỏa thuận.

Một quy trình tuân thủ có ba thành phần không thể thiếu.

1. Nguồn sự thật duy nhất: mỗi tài liệu đã ký phải tồn tại ở một vị trí có kiểm soát duy nhất, chỉ các bên được ủy quyền mới có thể truy cập.

2. Quyền hạn tối thiểu (Nguyên tắc đặc quyền tối thiểu): quyền truy cập phải giới hạn ở mức tối thiểu cần thiết cho vai trò của mỗi người dùng.

3. Chữ ký đã xác minh với đầu ra sẵn sàng kiểm toán: mỗi chữ ký phải được liên kết với danh tính đã xác minh, có dấu thời gian, được kết nối với hash tài liệu và đi kèm nhật ký kiểm toán chống giả mạo và chứng chỉ hoàn thành.

Tuân thủ chữ ký số theo eIDAS, GDPR, NIST và ESIGN Act được điều chỉnh bởi một nguyên tắc chung: mỗi tài liệu đã ký phải có thể chứng minh là xác thực, chứng minh là không bị thay đổi và chứng minh là được quy kết cho một người cụ thể tại một thời điểm cụ thể.

Chaindoc triển khai các kiểm soát này một cách vô hình trong quy trình ký. Đối với các tổ chức hiện đại, một quy trình ký tuân thủ không phải là chi phí hoạt động mà là lợi thế cạnh tranh.