# eKYC - Xác thực VNeID

**NỀN TẢNG CẤP CHỨNG THƯ SỐ VÀ KÍ SỐ SỬ DỤNG THẺ EID** 

1. NỀN TẢNG GIẢI PHÁP EIDCA 

Sử dụng thẻ CCCD / CC gắn chip để thực hiện đăng kí chứng thư chữ ký số công cộng và kí các tài liệu, hóa đơn, chứng từ. Giải pháp áp dụng cho 2 loại chữ kí số trên thị trường: 

• Chứng thư số cho cá nhân 

• Chứng thư số công cộng cho cá nhân thuộc tổ chức 

• Hộ kinh doanh cá thể 

Nền tảng được xây dựng trên 3 nền tảng chính bao gồm : 

(1) Xác thực CCCD / CC với TT RAR thuộc Bộ Công An (2) Nền tảng sinh trắc học (3) Kênh xác thực doanh nghiệp dựa vào mã số doanh nghiệp – cho hộ kinh doanh, cá nhân thuộc tổ chức.

<figure><img src="https://2094581354-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FHIyMp8uez10XaYkjnjT8%2Fuploads%2F1chEno8WR5jpBNCGZ2qT%2Fimage.png?alt=media&#x26;token=b4ef92d1-bdc7-47f4-9640-8ca0d077d137" alt=""><figcaption></figcaption></figure>

Chúng tôi cung cấp dịch vụ xác thực VIeID cho khách hàng  của VIetQR và các đối tác : Luồng kết nối mTLS VietQR <-> GTEL

<figure><img src="https://2094581354-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FHIyMp8uez10XaYkjnjT8%2Fuploads%2FEvw2hGd8pGhY8DSNSopi%2Fimage.png?alt=media&#x26;token=553e4433-5afb-4f59-825d-b566c8eaea0e" alt=""><figcaption></figcaption></figure>

### 🔒 1. Mục tiêu

Mục tiêu của giai đoạn này là thiết lập kết nối bảo mật mTLS giữa VietQR và GTEL, đảm bảo xác thực hai chiều (client/server) khi trao đổi dữ liệu eID hoặc các API xác thực CCCD gắn chip.

### 🧩 2. Thành phần tham gia

| Thành phần            | Vai trò                                             | Ghi chú                                                  |
| --------------------- | --------------------------------------------------- | -------------------------------------------------------- |
| VietQR (Client)       | Gửi request xác thực và gọi API từ hệ thống VietQR. | Cần chứng chỉ VietQR\_cert do CA nội bộ GTEL cấp.        |
| GTEL (Server)         | Cung cấp API eID / eKYC / Verify, xác thực client.  | Dùng chứng chỉ GTEL\_cert ký bởi CA công cộng Sectigo.   |
| CA (GTEL Internal CA) | Ký chứng chỉ cho đối tác (VietQR).                  | Được GTEL quản lý nội bộ, chỉ dùng trong handshake mTLS. |

<figure><img src="https://2094581354-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2FHIyMp8uez10XaYkjnjT8%2Fuploads%2FQNbbql7gmO4Yv3h9NGzg%2Funknown.png?alt=media&#x26;token=73091ced-3781-4c1e-80fa-bc7b142a529f" alt=""><figcaption></figcaption></figure>

#### Bước 1 – Chuẩn bị chứng chỉ

1. VietQR → GTEL: Gửi CSR (VietQR.csr) để yêu cầu cấp chứng chỉ.
2. GTEL → GTEL Internal CA: Gửi CSR để CA ký.
3. GTEL Internal CA → GTEL: Trả về VietQR\_cert (chứng chỉ client).
4. GTEL → VietQR: Cấp chứng chỉ VietQR\_cert đã được ký.

#### Bước 2 – Handshake mTLS

1. VietQR → GTEL: Gửi Client Hello khởi tạo kết nối TLS.
2. GTEL → VietQR: Gửi Server Hello kèm GTEL\_cert (ký bởi Sectigo).
3. VietQR → OS TrustStore: Xác thực GTEL\_cert qua root CA của Sectigo (đã có sẵn trong hệ điều hành).
4. VietQR → GTEL: Gửi VietQR\_cert (ký bởi CA nội bộ GTEL).
5. GTEL → CA nội bộ: Xác thực chứng chỉ VietQR\_cert.
6. GTEL → VietQR: Xác nhận handshake thành công, thiết lập khóa phiên TLS.

#### Bước 3 – Trao đổi dữ liệu bảo mật

* Sau khi handshake thành công:
* VietQR → GTEL: Gửi request API (ví dụ verifyEid, decodeChip, faceMatching, …) qua kênh TLS.
* GTEL → VietQR: Trả response JSON có chữ ký xác nhận (signature) kèm kết quả xác thực.
* Tất cả payload truyền đi chỉ chứa thông tin ds\_cert dạng Base64 (không bao gồm dữ liệu cá nhân) theo quy định NĐ 13/2023/NĐ-CP.

### 🧱 4. Yêu cầu kỹ thuật hạ tầng

| Hạng mục            | Yêu cầu                                                         |
| ------------------- | --------------------------------------------------------------- |
| Giao thức bảo mật   | mTLS 1.3                                                        |
| Cổng kết nối        | Theo GTEL API Gateway, thường 443                               |
| Cơ chế kiểm soát    | IP Whitelist + Domain Whitelist giữa VietQR DC và GTEL DC       |
| Kiến trúc DC GTEL   | Tier-3, giám sát SOC 24/7, 3 lớp Firewall, vùng RAR offline     |
| Kênh VPN (tùy chọn) | Có thể dùng VPN site-to-site nếu yêu cầu bảo mật vật lý cao hơn |

### 📡 5. Kết quả

Sau khi hoàn tất:

* Hai bên VietQR và GTEL có thể trao đổi API qua kênh mTLS bảo mật.
* GTEL xác thực danh tính VietQR dựa trên chứng chỉ client được cấp.
* VietQR có thể gọi các API eID (verify, decode, eKYC) an toàn và hợp chuẩn.