# eKYC - Xác thực VNeID
**NỀN TẢNG CẤP CHỨNG THƯ SỐ VÀ KÍ SỐ SỬ DỤNG THẺ EID**
1. NỀN TẢNG GIẢI PHÁP EIDCA
Sử dụng thẻ CCCD / CC gắn chip để thực hiện đăng kí chứng thư chữ ký số công cộng và kí các tài liệu, hóa đơn, chứng từ. Giải pháp áp dụng cho 2 loại chữ kí số trên thị trường:
• Chứng thư số cho cá nhân
• Chứng thư số công cộng cho cá nhân thuộc tổ chức
• Hộ kinh doanh cá thể
Nền tảng được xây dựng trên 3 nền tảng chính bao gồm :
(1) Xác thực CCCD / CC với TT RAR thuộc Bộ Công An (2) Nền tảng sinh trắc học (3) Kênh xác thực doanh nghiệp dựa vào mã số doanh nghiệp – cho hộ kinh doanh, cá nhân thuộc tổ chức.
Chúng tôi cung cấp dịch vụ xác thực VIeID cho khách hàng của VIetQR và các đối tác : Luồng kết nối mTLS VietQR <-> GTEL
### 🔒 1. Mục tiêu
Mục tiêu của giai đoạn này là thiết lập kết nối bảo mật mTLS giữa VietQR và GTEL, đảm bảo xác thực hai chiều (client/server) khi trao đổi dữ liệu eID hoặc các API xác thực CCCD gắn chip.
### 🧩 2. Thành phần tham gia
| Thành phần | Vai trò | Ghi chú |
| --------------------- | --------------------------------------------------- | -------------------------------------------------------- |
| VietQR (Client) | Gửi request xác thực và gọi API từ hệ thống VietQR. | Cần chứng chỉ VietQR\_cert do CA nội bộ GTEL cấp. |
| GTEL (Server) | Cung cấp API eID / eKYC / Verify, xác thực client. | Dùng chứng chỉ GTEL\_cert ký bởi CA công cộng Sectigo. |
| CA (GTEL Internal CA) | Ký chứng chỉ cho đối tác (VietQR). | Được GTEL quản lý nội bộ, chỉ dùng trong handshake mTLS. |
#### Bước 1 – Chuẩn bị chứng chỉ
1. VietQR → GTEL: Gửi CSR (VietQR.csr) để yêu cầu cấp chứng chỉ.
2. GTEL → GTEL Internal CA: Gửi CSR để CA ký.
3. GTEL Internal CA → GTEL: Trả về VietQR\_cert (chứng chỉ client).
4. GTEL → VietQR: Cấp chứng chỉ VietQR\_cert đã được ký.
#### Bước 2 – Handshake mTLS
1. VietQR → GTEL: Gửi Client Hello khởi tạo kết nối TLS.
2. GTEL → VietQR: Gửi Server Hello kèm GTEL\_cert (ký bởi Sectigo).
3. VietQR → OS TrustStore: Xác thực GTEL\_cert qua root CA của Sectigo (đã có sẵn trong hệ điều hành).
4. VietQR → GTEL: Gửi VietQR\_cert (ký bởi CA nội bộ GTEL).
5. GTEL → CA nội bộ: Xác thực chứng chỉ VietQR\_cert.
6. GTEL → VietQR: Xác nhận handshake thành công, thiết lập khóa phiên TLS.
#### Bước 3 – Trao đổi dữ liệu bảo mật
* Sau khi handshake thành công:
* VietQR → GTEL: Gửi request API (ví dụ verifyEid, decodeChip, faceMatching, …) qua kênh TLS.
* GTEL → VietQR: Trả response JSON có chữ ký xác nhận (signature) kèm kết quả xác thực.
* Tất cả payload truyền đi chỉ chứa thông tin ds\_cert dạng Base64 (không bao gồm dữ liệu cá nhân) theo quy định NĐ 13/2023/NĐ-CP.
### 🧱 4. Yêu cầu kỹ thuật hạ tầng
| Hạng mục | Yêu cầu |
| ------------------- | --------------------------------------------------------------- |
| Giao thức bảo mật | mTLS 1.3 |
| Cổng kết nối | Theo GTEL API Gateway, thường 443 |
| Cơ chế kiểm soát | IP Whitelist + Domain Whitelist giữa VietQR DC và GTEL DC |
| Kiến trúc DC GTEL | Tier-3, giám sát SOC 24/7, 3 lớp Firewall, vùng RAR offline |
| Kênh VPN (tùy chọn) | Có thể dùng VPN site-to-site nếu yêu cầu bảo mật vật lý cao hơn |
### 📡 5. Kết quả
Sau khi hoàn tất:
* Hai bên VietQR và GTEL có thể trao đổi API qua kênh mTLS bảo mật.
* GTEL xác thực danh tính VietQR dựa trên chứng chỉ client được cấp.
* VietQR có thể gọi các API eID (verify, decode, eKYC) an toàn và hợp chuẩn.
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://doc.vietqr.vn/doc/hoa-don-vat-tu-dong/ekyc-xac-thuc-vneid.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.