Ngày nay, vấn đề an ninh cho thương mại điện tử đã không còn là vấn đề mới mẻ. Các bằng chứng thu thập được từ hàng loạt các cuộc điều tra tiếp tục cho thấy những vụ tấn công qua mạng hoặc tội phạm mạng trong thế giới thương mại điện tử đang gia tăng mạnh. Theo báo cáo của Viện An ninh Máy tính (CSI) và FBI (Mỹ) về thực trạng các vụ tấn công vào hoạt động thương mại điện tử năm 2002:
– Các tổ chức tiếp tục phải chịu những cuộc tấn công qua mạng từ cả bên trong lẫn bên ngoài tổ chức đó. Trong những tổ chức được điều tra, khoảng 90% cho rằng họ đã thấy có sự xâm phạm an ninh trong vòng 12 tháng gần nhất.
– Các hình thức tấn công qua mạng mà các tổ chức phải chịu rất khác nhau. Ví dụ, 85% bị virus tấn công, 78% bị sử dụng trái phép mạng internet, 40% là nạn nhân của tấn công từ chối dịch vụ (DoS)
– Thiệt hại về tài chính qua các vụ tấn công qua mạng là rất lớn: 80% các tổ chức được điều tra trả lời rằng họ đã phải chịu thiệt hại về tài chính do hàng loạt các kiểu tấn công khác nhau qua mạng. Tổng thiệt hại của những tổ chức này khoảng 455 triệu đôla Mỹ.
– Cần phải sử dụng nhiều biện pháp đồng thời để nâng cao khả năng phòng chống các vụ tấn công qua mạng. Hầu hết các tổ chức được điều tra đều trả lời rằng họ đã sử dụng các thiết bị bảo vệ an ninh, tường lửa, quản lý việc truy cập hệ thống. Tuy nhiên, không có tổ chức nào tin rằng hệ thống thương mại điện tử của mình tuyệt đối an toàn.
Ngoài ra, theo báo cáo của Trung tâm ứng cứu khẩn cấp máy tính (CERT) của đại học Carnegie Mellon (Mỹ), số lượng nạn nhân của những vụ tấn công qua mạng tăng từ 22.000 vụ năm 2000 lên đến 82.000 vụ năm 2002, và con số này cao gấp 20 lần so với con số nạn nhân năm 1998. Để đối phó với tình trạng mất an ninh qua mạng, ở hầu hết các nước đã thành lập những trung tâm an ninh mạng mang tính quốc gia, như Trung tâm bảo về Cơ sở hạ tầng quốc gia (NIPC) trực thuộc FBI (Mỹ), có chức năng ngăn chặn và bảo vệ hạ tầng quốc gia về viễn thông, năng lượng, giao thông vận tải, ngân hàng và tài chính, các hoạt động cấp cứu và các hoạt động khác của chính phủ. Tại Việt Nam cũng đã thành lập Trung tâm ứng cứu khẩn cấp máy tính Việt Nam (VnCERT) vào tháng 12/2005
Việc xây dựng kế hoạch an ninh thương mại điện tử cho doanh nghiệp bao gồm 4 giai đoạn sau:
– Giai đoạn đánh giá: Giai đoạn này xác định những tài sản doanh nghiệp có, bao gồm cả tài sản hữu hình và vô hình. Giá trị tài sản phải được định rõ, cả về mặt tài chính và phi tài chính và định rõ tầm quan trọng của từng tài sản đối với doanh nghiệp và từ đó đánh giá khả năng bị tấn công của từng tài sản. Việc đánh giá gồm các nội dung sau:
+ Xác định các mối đe dọa: đa số những vụ xâm phạm an ninh trái phép là do sự can thiệp trực tiếp hay gián tíếp của con người các hệ thống và những người có quyền truy cập tới tài sản phải được định rõ như giám đốc IT, nhân viên, các nhà tư vấn,… Khả năng mối đe dọa trở thành hiện thực cũng cần được đánh giá.
+ Xác định hình thức thiệt hại: ví dụ các thông tin quan trọng có thể bị sửa đổi hoặc đánh cắp bởi các cá nhân, hoặc có thể bị phá hủy do bị tấn công.
– Giai đoạn lên kế hoạch: Xác định rõ ràng đe dọa nào cần phải chống đỡ và giải pháp tương ứng cần được tiến hành, thời gian cụ thể và người chịu trách nhiệm triển khai. Đánh giá và lựa chọn các giải pháp phù hợp.
– Giai đoạn thực thi: Các công nghệ đặc thù có thể được chọn để chống đỡ với các nguy cơ dễ xảy ra nhất. Việc lựa chọn công nghệ dựa vào những định hướng đã được nêu ra ở giai đoạn Lập kế hoạch. Ngoài những công nghệ đặc thù, các phần mềm an ninh từ những nhà cung cấp khác cũng có thể được lựa chọn.
– Giai đoạn giám sát: Xác định những biện pháp nào mang lại thành công, những biện pháp nào không hiệu quả cần thay đổi, liệu có những mối đe dọa mới xuất hiện hay có những cải tiến hoặc thay đổi gì trong công nghệ, hoặc có những tài sản nào khác của doanh nghiệp cần bảo đảm an ninh.
Các phương thức thanh toán trực tuyến phổ biến hiện nay bao gồm:
– Thẻ thanh toán
– Thẻ thông minh
– Ví điện tử
– Tiền điện tử
– Thanh tóan qua điện thoại di động
– Thanh toán điện tử tại các kiốt bán hàng
– Séc điện tử
– Thẻ mua hàng
– Thư tín dụng điện tử
– Chuyển tiền điện tử (EFT)
Trong các phương tiện thanh toán điện tử trên, thì thẻ thanh toán được coi là phương tiện phổ biến nhất, đặc biệt là thẻ tín dụng do tính tiện lợi và phổ dụng của nó (nhất là tại Mỹ và các nước phát triển). Ba loại thẻ thanh toán phổ biến gồm: thẻ tín dụng (credit card, là thẻ cho phép chủ thẻ chi tiêu tới một hạn mức tín dụng nhất định), thẻ ghi nợ (debit card, là thẻ chi tiêu dựa trên số dư tài khoản thẻ hay tài khoản tiền gửi) và thẻ mua hàng (charge card, là thẻ cho phép chủ thẻ chi tiêu và tiến hành thanh toán các khỏan chi tiêu đó định kỳ, thường vào cuối tháng). Các nhà cung cấp thẻ nổi tiếng và được chấp nhận nhất hiện nay là Visa, MasterCard, American Express Card và EuroPay.
Trong 3 loại thẻ trên, thanh toán bằng thẻ tín dụng chiếm khoảng 90% tổng giá trị các giao dịch qua mạng internet. Chấp nhận thanh toán qua thẻ tín dụng giúp các doanh nghiệp xây dựng được niềm tin với khách hàng hơn, nâng cao doanh thu bán hàng do cung cấp giải pháp thanh toán tiện lợi và tiết kiệm cho doanh nghiệp thời gian và công sức để xử lý nghiệp vụ thanh toán.
Có nhiều lựa chọn thanh toán điện tử giữa doanh nghiệp với doanh nghiệp. Khi phải thanh toán cho nhà cung cấp hoặc để chấp nhận thanh toán từ đối tác, hầu hết các doanh nghiệp lớn thường chọn giải pháp Chuyển tiền điện tử hoặc các phương thức thanh toán “phi điện tử” (như séc thông thường), hoặc thẻ mua hàng. Đối với các giao dịch xuất nhập khẩu, doanh nghiệp vẫn sử dụng hình thức thanh toán quốc tế truyền thống như dùng thư tín dụng (L/C) hoặc điện chuyển tiền (TTR)
Với các doanh nghiệp thương mại điện tử vừa và nhỏ của Việt Nam hiện nay, điều cơ bản phải cân nhắc trước hết là sự sẵn có của dịch vụ và những tiện ích của dịch vụ đó ở Việt Nam.
Các hành vi vi phạm pháp luật về thương mại điện tử bao gồm:
Ngăn cản, hạn chế khả năng của tổ chức, cá nhân trong việc sử dụng chứng từ điện tử.
Ngăn cản, hạn chế khả năng của tổ chức, cá nhân trong việc lựa chọn công nghệ, phương tiện điện tử để tiến hành hoạt động thương mại.
Thay đổi, xóa, hủy, sao chép, tiết lộ, di chuyển trái phép, giả mạo, chiếm đoạt một phần hoặc toàn bộ chứng từ điện tử.
Xâm phạm, phá hoại hệ thống thông tin sử dụng cho hoạt động thương mại điện tử.
Khởi tạo, gửi, truyền, nhận, xử lý các chứng từ điện tử nhằm thực hiện hành vi trái pháp luật.
Các hành vi vi phạm pháp luật khác liên quan tới sử dụng chứng từ điện tử theo quy định của pháp luật.
Chữ ký điện tử gắn với một thông điệp dữ liệu giúp ta:
Xác định được tác giả của thông điệp dữ liệu đó
Khẳng định sự chấp thuận của người ký đối với nội dung của thông điệp dữ liệu
Trả lời: Chữ ký điện tử đó được kiểm chứng bằng một quy trình an toàn do các bên giao dịch thỏa thuận và đáp ứng được các điều kiện sau:
Dữ liệu cấu thành nên chữ ký điện tử chỉ gắn duy nhất với người ký khi dữ liệu đó được sủ dụng.
Dữ liệu tạo chữ ký điện tử chỉ thuộc sự kiểm soát của ngưòi ký tại thời điểm ký.
Mọi thay đổi đối với chữ ký điện tử sau thời điểm ký đều có thể bị phát hiện.
Mọi thay đổi đối với nội dung của thông điệp dữ liệu sau thời điểm ký đều có thể bị phát hiện.
Câu 8: Tại sao nên sử dụng chữ ký số đã được chứng thực bởi các tổ chức chứng thực?
Một trong những yêu cầu quan trọng trong việc ứng dụng chữ ký điện tử là viêc xác định được sự kết nối vật lý giữa người ký và chữ ký số. Bởi một người bất kỳ có thể xưng danh giả mạo một người khác, tự tạo ra cặp khoá và tự công bố khoá công khai. Vì vậy, để đảm bảo rằng khoá công khai phải được lấy từ một cơ sở dữ liệu đáng tin cậy, đảm bảo đúng người đó là chủ thể của khoá công khai và khoá công khai trên cơ sở dữ liệu đó là cùng cặp với khoá riêng mà người đó đang giữ thì chúng ta nên sử dụng dịch vụ chứng thực chữ ký số. Đây cũng là nguyên nhân phải có Cơ quan chứng thực (CA).
Cơ quan CA có những hoạt động như sau:
Cấp, gia hạn, tạm đình chỉ, phục hồi và thu hồi chứng thư điện tử
Cung cấp thông tin cần thiết để giúp chứng thực chữ ký điện tử của người ký thông điệp dữ liệu
Cung cấp các dịch vụ khác liên quan đến chữ ký điện tử và chứng thực chữ ký điện tử theo quy định của pháp luật.
Liên quan đến hợp đồng điện tử, Nghị định về thương mại điện tử được áp dụng để điều chỉnh một số vấn đề sau:
Giá trị pháp lý của hợp đồng điện tử (Điều 7-9):
Hợp đồng không bị phủ nhận giá trị pháp lý chỉ vì là hợp đồng điện tử.
Hợp đồng điện tử có giá trị pháp lý như hợp đồng ở dạng văn bản nếu thông tin chứa trong hợp đồng có thể truy cập được để sử dụng khi cần thiết.
Hợp đồng điện tử có giá trị pháp lý như bản gốc nếu thoả mãn đồng thời cả hai điều kiện sau: 1) Có sự đảm bảo đủ tin cậy về tính toàn vẹn của thông tin chứa trong hợp đồng điện tử từ khi thông tin được tạo ra ở dạng cuối cùng là hợp đồng điện tử hay dạng khác. 2) Thông tin chứa trong hợp đồng điện tử có thể hiển thị được khi cần thiết.
Ký hợp đồng điện tử (Điều 10): Hợp đồng điện tử được coi là có chữ ký của một bên nếu đã sử dụng một phương pháp đủ tin cậy để xác định bên đó và chỉ ra sự chấp thuận của bên đó đối với thông tin chứa trong chứng từ điện tử.
Thông báo về đề nghị giao kết hợp đồng (Điều 12): Những thông báo, chào hàng hay chứng từ điện tử khác có nội dung của một đề nghị giao kết hợp đồng nhưng không có bên nhận cụ thể thì chưa được coi là đề nghị giao kết hợp đồng, trừ khi bên thông báo chỉ rõ tại thông báo đó trách nhiệm của mình trong trường hợp nhận được trả lời chấp nhận.
Cung cấp các điều khoản của hợp đồng (Điều 14): Trong trường hợp thông qua các hệ thống thông tin, bên A đưa ra đề nghị giao kết hợp đồng và bên B có thể tiếp cận được đề nghị đó thì trong khoảng thời gian hợp lý bên A phải cung cấp cho bên được đề nghị các chứng từ điện tử hoặc chứng từ liên quan khác chứa những nội dung của hợp đồng. Các chứng từ này phải thỏa mãn điều kiện lưu trữ và sử dụng được.
Tương tự như trong môi trường kinh doanh truyền thống, trong thương mại điện tử cũng có những vấn đề về cạnh tranh công bằng như bán phá giá, bán hàng được trợ cấp, hạ thấp uy tín đối thủ cạnh tranh, … Những vấn đề này đều được pháp luật về cạnh tranh điều chỉnh.
Hiện Trung tâm Phát triển Thương mại điện tử (EcomViet) thuộc Cục Thương mại điện tử và Công nghệ thông tin (Bộ Công Thương) cũng có Hệ thống xây dựng uy tín trong giao dịch thương mại điện tử SafeWeb với mục đích bảo vệ quyền lợi người tiêu dùng và thúc đẩy sự phát triển lành mạnh của thương mại điện tử Việt Nam. SafeWeb sẽ giúp đánh giá uy tín các website đặc biệt là các website thương mại điện tử có thu thập thông tin cá nhân và tiến hành kinh doanh trực tuyến. Vì là thương hiệu trên môi trường Internet, nên các DN phải đạt được các tiêu chí đánh giá theo thông lệ quốc tế như: sản xuất, kinh doanh phát triển lành mạnh, có uy tín với khách hàng, tuân thủ đầy đủ các quy định pháp luật hiện hành.
Giả sử doanh nghiệp bạn quyết định xây dựng một trang web B2B để phục vụ khách hàng và các nhà cung cấp. Vì trang web này không phải là trang web công cộng, những người sẽ biết về trang web này chỉ là chính doanh nghiệp bạn, các nhà cung cấp và các đối tác kinh doanh. Do đó, bạn cho rằng không cần thiết phải xây dựng những giải pháp mạnh cho vấn đề bảo đảm an ninh. Như vậy là sai lầm! Với những ưu thế của các công cụ rà soát tự động, chỉ cần sau một thời gian tính bằng ngày, các hacker đã tìm ra trang web của doanh nghiệp bạn. Sau khi đã tìm ra, nếu trang web của bạn được đánh giá là dễ bị tấn công, sau thời gian vài giờ hoặc thậm chí vài phút, các hacker đã có thể xâm nhập và chiếm quyền điều khiển website của bạn. Một trang web dù không được quảng cáo, hình thức không hấp dẫn hay không được ai biết tới, bất kể trang web thương mại điện tử nào cũng cần phải tính tới giải pháp an ninh. Các trang web này cần được xem xét kỹ càng những yêu cầu về an ninh và áp dụng các biện pháp hữu hiệu để bảo vệ trang web chống lại những hiểm họa tấn công từ trên mạng.
Những website càng hoạt động tốt, càng nổi tiếng thì càng có khả năng bị tấn công. Có nhiều khả năng, một phần có thể do cạnh tranh, một phần do các hacker muốn chứng tỏ khả năng của mình bằng cách tấn công vào những website thành công vốn có hệ thống bảo mật kiên cố. Đặc biệt, những website có giao dịch điện tử trực tuyến, có liên quan đến các thông tin nhạy cảm như thẻ tín dụng, thông tin khách hàng, các cơ sở dữ liệu phục vụ kinh doanh…
Rủi ro trong thương mại điện tử với những hình thái muôn màu muôn vẻ, tuy nhiên tựu chung lại có thể chia thành bốn nhóm cơ bản sau:
Nhóm rủi ro dữ liệu
Nhóm rủi ro về công nghệ
Nhóm rủi ro về thủ tục quy trình giao dịch của tổ chức
Nhóm rủi ro về luật pháp và các tiêu chuẩn công nghiệp
Các nhóm rủi ro này không hoàn toàn độc lập với nhau mà đôi khi chúng đồng thời cùng xảy đến và không xác định tách bạch rõ ràng được. Nếu các rủi ro này đồng thời xảy ra, thiệt hại đối với tổ chức có thể rất lớn cả về uy tín, thời gian và chi phí đầu tư để khôi phục hoạt động trở lại bình thường.
Có nhiều cách hiểu marketing điện tử, sau đây là một số khái niệm điển hình :
Marketing điện tử là quá trình lập kế hoạch về sản phẩm, giá, phân phối và xúc tiến đối với sản phẩm, dịch vụ và ý tưởng để đáp ứng nhu cầu của tổ chức và cá nhân -dựa trên các phương tiện điện tử và internet. (P.Kotler)
Marketing điện tử bao gồm tất cả các hoạt động để thoả mãn nhu cầu và mong muốn của khách hàng thông qua internet và các phương tiện điện tử
(Nguồn: Joel Reedy, Shauna Schullo, Kenneth Zimmerman, 2000)
Marketing điện tử là việc ứng dụng mạng internet và các phương tiện điện tử (web, e-mail, cơ sở dữ liệu, multimedia, PDA…) để tiến hành các hoạt động marketing nhằm đạt được các mục tiêu của tổ chức và duy trì quan hệ khách hàng thông qua việc nâng cao hiểu biết về khách hàng (thông tin, hành vi, giá trị, mức độ trung thành…), từ đó tiến hành các hoạt động xúc tiến hướng mục tiêu và các dịch vụ qua mạng hướng tới thoả mãn nhu cầu của khách hàng. http://www.davechaffey.com/Internet-Marketing
Về cơ bản, marketing điện tử được hiểu là các hoạt động marketing được tiến hành qua các phương tiện điện tử và mạng viễn thông. Trong đó, phương tiện điện tử có thể là máy tính, mobile, PDA… còn mạng viễn thông có thể là internet, mạng thông tin di động…
Có một số hoạt động phổ biến sau:
– Marketing trực tiếp bằng e-mail
– Gửi thông điệp quảng cáo qua Internet đến các thiết bị điện tử như mobile, fax…
– Dịch vụ khách hàng thông qua các công cụ trên web và internet như chat, voice, video conference, net meeting
– Thực hiện điều tra ý kiến khách hàng tự động bằng bảng câu hỏi trên web
– Đăng ký trên các sàn giao dịch, cổng thương mại điện tử
– Tổ chức các diễn đàn để tìm hiểu ý kiến khách hàng
Ưu điểm: Về nội dung, thư điện tử có thể truyền tải thông điệp với nhiều dạng thông tin như văn bản, hình ảnh, âm thanh… đến khách hàng một cách nhanh chóng và chi phí thấp. Hơn nữa, việc tổ chức gửu thư điện tử có thể được tự động hóa nhờ các phần mềm chuyên dụng. Đồng thời, sử dụng thư điện tử có thể cá biệt hóa nội dung thông điệp quảng cáo và chào hàng nhằm đúng vào các đoạn thị trường khác nhau, thậm chí đến từng cá nhân.
Về hình thức, thư điện tử có thể được trình bày đẹp, thu hút sự chú ý của khách hàng. Thư điện tử đang trở thành một phần không thể thiếu trong việc tạo lập và duy trì mối quan hệ với khách hàng. Thư điện tử là công cụ hữu hiệu, bên cạnh các phương tiện truyền thông khác, trong việc tăng cường hoạt động xúc tiến và hỗ trợ kinh doanh.
Nhược điểm: Khách hàng ngày càng bão hoà với email quảng cáo. Số lượng thư điện tử được gửi đi với mục đích quảng cáo ngày càng nhiều, trung bình 80% thư điện khách hàng nhận hàng ngày có mục đích quảng cáo trực tiếp hoặc gián tiếp. Điều này không chỉ giảm hiệu quả marketing mà còn ảnh hưởng đến uy tín, hình ảnh của doanh nghiệp khi gửi thư quảng cáo mà không có sự đồng ý của người nhận. Để khắc phục nhược điểm, có thể lựa chọn hình thức gửi thư điện tử opt-out, theo đó, người nhận có thể thông báo cho người gửi để từ chối không nhận thông điệp quảng cáo tiếp theo.
Ở giao dịch hàng hoá là một trong những tổ chức giao dịch mua bán hàng hoá cổ truyền nhất trong thương mại với nhiều tên gọi: commodity exchange, commodity market, corn exchange… Đây là nơi người ta tiến hành các giao dịch mua và bán hàng hoá với khối lượng lớn, những loại hàng hoá có phẩm cấp rõ ràng như kim loại, ngũ cốc, cà phê, cao su… Việc mua bán ở đây tiến hành theo những quy chế chặt chẽ thông qua những người môi giới do sở giao dịch hàng hoá chỉ định.
Sở giao dịch hàng hoá thể hiện tập trung quan hệ cung cầu về một số mặt hàng trong từng thời gian nhất định. Giá cả tại các sở giao dịch hàng hoá được các doanh nghiệp coi là tài liệu tham khảo về giá cả hàng hoá trên thị trường thế giới. Nguyên nhân cơ bản là số lượng hàng hoá được giao dịch trên các thị trường này thường rất lớn. Trở ngại lớn nhất đối với các doanh nghiệp khi muốn tận dụng nguồn thông tin này là khoảng cách, thời gian và chi phí.
Với sự phát triển của Internet, các sở giao dịch hàng hoá được ứng dụng công nghệ thông tin và Internet đã thực sự trở nên dễ tiếp cận hơn đối với các doanh nghiệp trên khắp thế giới. Các doanh nghiệp lớn nhỏ, ở mọi nơi, mọi lúc đều có thể tiếp cận các sở giao dịch hàng hoá để khai thác, theo dõi các thông tin thị trường, giá cả, khối lượng giao dịch, xu hướng và khả năng biến động. Hơn nữa, các thông tin được cập nhật thường xuyên 24/7, chi tiết hơn, đầy đủ hơn. Không chỉ khai thác, theo dõi thông tin, quan trọng hơn các doanh nghiệp có khả năng tham gia thực hiện các giao dịch thông qua internet nhanh hơn, hiệu quả hơn các phương pháp truyền thống.
Doanh nghiệp có thể tham khảo các thông tin thị trường tại các website của những sở giao dịch hàng hóa lớn trên thế giới như:
– Sở giao dịch hàng hoá Chicago: http://www.cme.com
– Sở giao dịch hàng hoá Châu Âu: http://www.euronext.com
– Sở giao dịch hàng hoá Tokyo: www.tocom.or.jp
– Sở giao dịch hàng hoá New York: www.nymex.com
Có nhiều cấp độ bảo mật khác nhau tăng giảm tuỳ theo mức chi phí mà bạn chấp nhận. Nếu doanh nghiệp của bạn tham gia một cách nghiêm túc vào thương mại điện tử thì nên áp dụng chế độ bảo mật tốt nhất. Hiện nay gắn nhãn tín nhiệm cho website kinh doanh thương mại điện tử đang được triển khai bởi Ecomviet. Gắn nhãn tín nhiệm Safe, ngoài tính bảo mật thì còn nhiều điều khoản khác được đảm bảo.
“Chứng thực điện tử” hay “chứng thực số” (Digital Certificate) là dịch vụ do những nhà cung cấp chứng chỉ số (Certification Authorities – CA) thực hiện, cung cấp cho khách hàng công cụ và kiến thức cần thiết (tên truy cập, mật khẩu, địa chỉ kết nối, khoá mã…) nhằm bảo mật thông tin, chứng thực nguồn gốc và nội dung thông tin trong giao dịch qua mạng. Chứng thực điện tử dựa trên cơ sở hạ tầng khoá công khai (Public Key Infrastructure) với nền tảng là mật mã khoá công khai và chữ ký số. Nhà cung cấp dịch vụ chứng thực đảm bảo:
– Chứng thực danh tính của những người tham gia giao dịch: Chỉ có chủ sở hữu của chứng chỉ số mới có thể ký chữ ký điện tử và gửi thông điệp đi. Và người nhận thông điệp tin tưởng thông điệp đúng là của người chủ hợp pháp gửi đến.
– Bảo mật được thông tin: Thông điệp được mã hoá trước khi chuyển đi.
– Đảm bảo tính toàn vẹn của dữ liệu khi đến người nhận: Thông tin để được mã hoá sẽ không bị sửa đổi trên đường truyền.
Dịch vụ chứng thực điện tử để và đang phát triển thành dịch vụ toàn cầu. Một số nhà cung cấp nổi tiếng trên thế giới như Verysign, WSIeKey, eTrust… Để có một số Công ty và tổ chức của Việt Nam thử nghiệm và cung cấp dịch vụ chứng thực điện tử như Công ty phần mềm và truyền thông (VASC), Công ty điện toán và truyền số liệu (VDC), Trung tâm tin học – Bộ Khoa học và Công nghệ, Ban Cơ yếu Chính phủ.
Việt Nam hoà nhập Internet vào cuối năm 1997, một thời gian sau thì thuật ngữ thương mại điện tử bắt đầu xuất hiện song chưa phát triển.
Tất nhiên đầu tư là phải tốn kém. Nhưng Thương mại Điện tử mang lại những hiệu quả lớn hơn nhiều lần so với chi phí phải bỏ ra nếu bạn biết đầu tư đúng cách.
Đó là thanh toán trực tiếp. Quy luật từ các nước phát triển cho thấy: tất cả các mô hình TMĐT đều song hành cùng tồn tại và phát triển, tuy nhiên các mô hình TMĐT trực tuyến chuyên nghiệp sẽ dần phát triển nhanh, mạnh và chiếm lĩnh thị trường cùng với sự phát triển của các công cụ thanh toán trực tuyến nhờ tính ưu việt, tiện lợi và an toàn của nó. Đó cũng chính là nguyên nhân vì sao eBay trở thành thương mại TMĐT lớn và có doanh thu lớn nhất thế giới.
Tuy nhiên, nếu so sánh tổng giá trị thị trường TMĐT B2C và C2C của cả nước VN năm 2009 chỉ có 96,5 triệu USD, còn giá trị giao dịch qua chỉ 1 website tại Trung Quốc trong 1 ngày đã đạt 100 triệu USD. Xét tương quan với tỷ lệ dân số giữa Việt Nam và Trung Quốc, có thể thấy các mô hình TMĐT cho phép thanh toán trực tuyến như của ChợĐiệnTử.vn và eBay tại VN vẫn còn rất nhiều tiềm năng phát triển.
Thủ tục đăng ký và mua sắm đơn giản
Tiết kiệm và chủ động về thời gian
Chủ động, an toàn trong mọi tình huống
Tránh khỏi những phiền phức khó chịu
Mạng thanh toán mua sắm khắp năm châu
Một số công nghệ được phát triển nhằm đảm bảo rằng trong nội bộ mạng của một doanh nghiệp, các hoạt động sẽ được đảm bảo an toàn khỏi các vụ tấn công hoặc xâm phạm từ bên ngoài, đồng thời có chức năng cảnh báo các hoạt động tấn công từ bên ngoài vào hệ thống mạng.
Tường lửa: Tường lửa là một thành phần của mạng, gồm phần mềm hoặc phần cứng hoặc kết hợp cả phần mềm và phần cứng, cho phép những người sử dụng mạng máy tính của một tổ chức có thể truy cập tài nguyên của các mạng khác (ví dụ, mạng Internet), nhưng đồng thời ngăn cấm những người sử dụng khác, không được phép từ bên ngoài truy cập vào mạng máy tính của tổ chức. Một bức tường lửa có những đặc điểm sau:
– Tất cả các luồng thông tin từ bên trong mạng máy tính của tổ chức đi ra ngoài và ngược lại đều phải đi qua thiết bị hay phần mềm này;
– Chỉ các luồng thông tin được phép và tuân thủ đúng quy định về an toàn mạng máy tính của tổ chức, mới được phép đi qua;
Về cơ bản, tường lửa cho phép những người sử dụng mạng máy tính bên trong tường lửa được bảo vệ nhưng vẫn có khả năng truy cập toàn bộ các dịch vụ bên ngoài mạng ; đồng thời ngăn chặn và chỉ cho phép một số các truy cập từ bên ngoài vào mạng trên cơ sở đã kiểm tra tên và mật khẩu của người sử dụng, địa chỉ IP hoặc tên miền (domain name) … Ví dụ, một nhà sản xuất chỉ cho phép những người sử dụng có tên miền thuộc các công ty đối tác là khách hàng lâu năm, truy cập vào website của họ để mua hàng. Như vậy, công việc của bức tường lửa là thiết lập một rào chắn giữa trong và ngoài mạng máy tính của tổ chức. Tường lửa bảo vệ mạng máy tính của tổ chức tránh khỏi những tổn thương do những tin tặc, những người tò mò từ bên ngoài tấn công. Tất cả mọi thông điệp được gửi đến và gửi đi đều được tường lửa kiểm tra đối chiếu với những quy định về an toàn do tổ chức xác lập. Các tường lửa phổ biến hiện nay gồm: Windows XP Personal firewall, Microsoft ISA server (đa chức năng), Checkpoint.
Mạng riêng ảo (VPN)
Khi công ty muốn tạo ra một ứng dụng B2B, cung cấp cho các nhà cung cấp, đối tác và những đối tượng khác quyền truy cập không chỉ với dữ liệu đặt trên trang web của họ, mà còn cả quyền truy cập đối với dữ liệu chứa trong các tệp khác (như tệp Word, Excel, file đồ họa, file âm thanh, hình ảnh…). Theo cách truyền thống, liên lạc với công ty có thể thực hiện thông qua một đường truyền riêng hoặc thông qua một đường quay số tới modem hoặc tới một máy chủ truy cập từ xa (RAS – Remote Access Server) mà máy chủ này cho phép kết nối trực tiếp tới mạng LAN của công ty. Ưu điểm của việc thuê đường truyền riêng là giảm thiêu khả năng bị hacker nghe trộm các liên lạc, tuy nhiên chi phí lại cao.
Sử dụng password đủ mạnh: Để đảm bảo bí mật cho mật khẩu, khi thiết lập nên xem xét các tiêu chí như:
– Mật khẩu có số ký tự đủ lớn, tối thiểu 8 ký tự và có sự kết hợp giữa chữ hoa, chữ thường, chữ số và biểu tượng. Như vậy sẽ mất rất nhiều thời gian mới có thể tìm ra và phá mật khẩu, mà tới thời gian đó mật khẩu đã có thể đã được thay đổi. Mật khẩu cũng nên thường xuyên thay đổi (thường từ 30-60 ngày) và không nên sử dụng lại mật khẩu cũ.
– Kích hoạt tự động việc khóa không cho truy cập hệ thống nếu sau từ 3-5 lần nhập mật khẩu vẫn không đúng.
– Không sử dụng chức năng tự động điền (auto complete) của một số phần mềm ứng dụng như Microsoft Explorer để lưu mật khẩu và số tài khoản
Phòng chống virus: Theo thống kê, trung bình mỗi tháng có hơn 500 virus ra đời, do đó doanh nghiệp nên sử dụng các phần mềm chống virus để kiểm tra tất cả các dữ liệu hoặc được truyền qua cổng máy chủ ở mạng hoặc truyền giữa các cổng nội bộ. Các phần mềm chống virus cũng nên được cập nhật thường xuyên (hàng ngày, hàng tuần). Thông thường, các công ty phần mềm virus uy tín thường gửi email tới khách hàng thông báo về việc xuất hiện những virus mới và cung cấp công cụ update tự động cho khách hàng.
– Định dạng cổng email để khóa các tệp có đuôi dạng VBS, SHS, EXE, SCR, CHM và BAT hoặc những tệp có hai phần mở rộng dạng như .txt.vbs hoặc .jpg.vbs vì những tệp dạng này thường do virus tạo ra.
– Phố biến kiến thức cho người sử dụng, ví dụ, không mở những email lạ có tệp đính kèm, thậm chí từ người gửi có tên trong sổ địa chỉ; không tải về những tệp từ những nguồn không rõ ràng; thường xuyên quét virus; cập nhật phần mềm quét virus thường xuyên; không gửi những cảnh báo về virus hoặc các thư dây chuyền cho những người sử dụng khác.
Giải pháp an ninh nguồn nhân lực: Các doanh nghiệp cần lưu ý mọi nhân viên trong doanh nghiệp mình ý thức về vấn đề an ninh mạng và những nguy cơ tấn công doanh nghiệp có thể chịu trong trường hợp thiếu kinh nghiệm hoặc thiếu sự lưu tâm đúng mức từ phía các nhân viên. Nhân viên cũng cần được lưu ý về các giải pháp an toàn mạng nên áp dụng như việc chọn mật khẩu, thay đổi mật khẩu, quét virus thường xuyên hay xóa bỏ những email lạ.
Giải pháp về trang thiết bị an ninh mạng: Sử dụng các thiết bị kiểm soát việc ra vào trụ sở làm việc như : các thẻ từ, mã điện tử, thẻ thông minh hoặc các thiết bị nhận dạng nhân trắc như kiểm tra vân tay, tròng mắt hoặc giọng nói. Các biện pháp khác có thể là sao lưu dữ liệu vào những nơi an toàn, đánh dấu nhận dạng tia cực tím, các hệ thống phát hiện xâm phạm như camera vào chuông báo động.
Xây dựng chính sách về an ninh an toàn mạng và yêu cầu mọi người phải chấp hành có ý nghĩa quan trọng trong việc xây dựng ý thức và thể chế hóa hoạt động bảo vệ an ninh cho thương mại điện tử. Chính sách này thường bao gồm các nội dung sau:
– Quyền truy cập: xác định ai được quyền truy cập vào hệ thống, mức độ truy cập và ai giao quyền truy cập
– Bảo trì hệ thống: ai có trách nhiệm bảo trì hệ thống như việc sao lưu dữ liệu, kiểm tra an toàn định kỳ, kiểm tra tính hiệu quả các biện pháp an toàn,…
– Bảo trì nội dung và nâng cấp dữ liệu: ai có trách nhiệm với nội dung đăng tải trên mạng intranet, internet và mức độ thường xuyên phải kiểm tra và cập nhật những nội dung này
– Cập nhật chính sách an ninh thương mại điện tử: mức độ thường xuyền và ai chịu trách nhiệm cập nhật chính sách an ninh mạng và các biện pháp đảm bảo việc thực thi chính sách đó.
Một trong những công nghệ hỗ trợ thanh toán trực tuyến khác là thẻ thông minh. Thẻ thông minh là thẻ có gắn bộ vi xử lý trên đó (chip). Bộ vi xử lý này có thể kết hợp thêm một thẻ nhớ, cũng có trường hợp trên thẻ thanh toán chỉ gắn thêm thẻ nhớ mà không có phần lập trình nào kèm theo. Bộ vi xử lý có thể lưu trữ, xóa hoặc thay đổi thông tin trên thẻ trong khi thẻ nhớ chỉ có chức năng như một giống thẻ tín dụng. Mặc dù bộ vi xử lý có thể chạy được các chương trình giống một máy vi tính, song nó phải được dùng kết hợp với các thiết bị khác như máy đọc thẻ, máy ATM (Automatic Teller Machine). Thẻ thông minh hiện nay ngày càng được sử dụng rộng rãi vì các ứng dụng phong phú của nó, trong đó có những ứng dụng điển hình liên quan đến thanh toán điện tử như:
– Thẻ dịch vụ khách hàng: sử dụng thẻ thông minh để định ra những khách hàng trung thành và cấp những quyền ưu tiên nhất định cho chủ thẻ. Các loại thẻ này phổ biến trong mua vé máy bay, mua sắm, thẻ tín dụng… Ví dụ: Thẻ gold card của Vietnam Airlines.
– Ứng dụng trong ngành tài chính: Các tổ chức tài chính, hiệp hội thanh toán, và các nhà phát hành thẻ tín dụng, thẻ ghi nợ, thẻ mua chịu… đều đang sử dụng thẻ thông minh để mở rộng các dịch vụ thanh toán bằng thẻ truyền thống. Các ứng dụng đa chức năng như thẻ tín dụng, các chương trình ưu đãi, xác minh số và tiền điện tử đang được cung cấp.
– Thẻ công nghệ thông tin: Hàu hết các nhà phát hành thẻ sẽ tận dụng chức năng an toàn của thẻ thông minh để ngày càng mở rộng từ thế giới thẻ hiện vật sang thế giới ảo. Thẻ thông minh cho phép các cá nhân có thể lưu các thông tin cá nhân và sử dụng trong chứng thực để thực hiện các thanh toán điện tử.
– Thẻ y tế và phúc lợi xã hội: Nhiều nước với hệ thống chăm sóc y tế quốc gia đang đánh giá và ứng dụng thẻ thông minh để giảm các chi phí liên quan tới việc thực hiện các dịch vụ y tế và phúc lợi xã hội. Do trên thẻ thông minh có bộ vi xử lý để lưu các thông tin chứng thực người sở hữu thẻ, kết hợp với các mã số bí mật do chủ thẻ nắm giữ, thẻ thông minh được dùng để lưu trữ các thông tin dịch vụ y tế, phúc lợi xã hội… cho mọi công dân ơ các nước phát triển như Đức, Pháp, Anh, Ý…
Chúng tôi xin nêu một số loại thẻ thông minh điển hình sau:
– Visa Cash: Visa Cash là một thẻ trả trước, dùng để thanh toán cho những giao dịch có giá trị nhỏ. Card gắn vi mạch này có thể sử dụng trong giao dịch thông thường hoặc giao dịch trực tuyến. Khi thanh toán, chi phí mua hàng sẽ được trừ vào giá trị tiền còn trên thẻ. Thẻ này chỉ sử dụng được với những điểm chấp nhận thanh toán có lô gô Visa Cash hoặc bộ đọc thẻ Visa Cash kết nối với máy máy tính.
– Visa Buxx: Là thẻ trả trước được thiết kế cho thanh niên. Thẻ Visa Buxx trông giống thẻ thông thường, nhưng an toàn hơn vì nó có bộ nhớ không lớn. Người dùng có thể sử dụng thẻ để mua sắm và rất hiệu quả đối với thanh niên vì hạn mức chi phí. Thẻ có thể nạp tiền tự động hàng tháng.
– Mondex: Là thẻ gắn bộ vi xử lý của MasterCard, có chức năng tương tự như Visa Cash. Thẻ có thể được sử dụng để thanh toán tại bất cứ nơi nào có biểu tượng Mondex. Hơn nữa, sử dụng thẻ Mondex có thể chuyển được tiền từ tài khoản này sang tài khoản khác. Không giống thẻ Visa Cash, thẻ Mondex có thể lưu tài khoản tiền của 5 loại tiền khác nhau.
Một người mua hàng trên mạng có thể tiến hành mua nhiều hàng hóa tại nhiều website khác nhau. Để đơn giản hóa việc nhập thông tin thẻ tín dụng và thông tin cá nhân để ghi hóa đơn hoặc gửi hàng người ta sử dụng phần mềm ‘ví điện tử’. Tuy nhiên, với mỗi người bán khác nhau thì khách hàng cần lập một tài khoản ví điện tử khác nhau. Ví điện tử là một phần mềm trong đó người sử dụng có thể lưu trữ số thẻ tín dụng và các thông tin cá nhân khác. Khi mua hàng trên mạng, người mua hàng chỉ đơn giản kích vào ví điện tử, phần mềm sẽ tự động điền các thông tin khách hàng cần thiết để thực hiện việc mua hàng. Hiện nay, Visa, MasterCard, Yahoo, AOL, Microsoft đều cung cấp dịch vụ ví điện tử.
Cách thức vận hàng của ví điện tử như sau:
– Người mua (người sử dụng ví điện tử) đặt hàng qua mạng
– Phần xác minh/đăng ký của ví điện tử tạo ra một cặp chìa khóa. Phần này sẽ mã hóa một khóa với khóa công khai của người mua đi liền với ví điện tử. Ví điện tử cũng tạo ra một thông điệp (vé) gồm chìa khóa thứ hai và tên người mua. Vé sau đó được mã hóa cùng với khóa công cộng của người bán. Cả hai phần mã hóa được gửi cho người mua cùng với thông điệp.
– Người mua giải mã thứ nhất bằng cách sử dụng khóa bí mật của mình. Người mua sau đó tạo ra một thông điệp mới, bao gồm tên người mua, và mã hóa thông điệp này bằng khóa thứ nhất và gửi thông điệp này cùng với vé cho người bán
– Người bán giải mã vé sử dụng mã bí mật của mình, lấy được tên người mua và chìa khóa thứ hai. Sử dụng chìa khóa này, người bán giải mã được thông điệp người mua gửi và có được tên người mua. Nếu 2 tên này trùng nhau, người bán sẽ biết người mua là chân thực
Sau lần giao dịch đầu tiên thành công, từ lần thứ hai, người mua và người bán đó có thể thực hiện những giao dịch an toàn khác sử dụng các chìa khóa để mã hóa các liên lạc. Toàn bộ quy trình chỉ thực hiện trong vài giây, và hoàn toàn tự động với chi phí tối thiểu.
Trả lời: Các nhà cung cấp dịch vụ thẻ hàng đầu hiện nay như Visa, MasterCard và American Express đều đang đưa ra các loại thẻ mới sử dụng với các khoản mua hàng thường xuyên và có giá trị nhỏ của các doanh nghiệp là thẻ mua hàng. Thẻ mua hàng là các loại thẻ đặc biệt dùng cho nhân viên các công ty, chỉ được dùng để mua các mặt hàng thông dụng như văn phòng phẩm, máy tính, bảo trì máy móc,….
Quy trình vận hành của thẻ mua hàng tương tự như các loại thẻ khác khi mua hàng trực tuyến hoặc thông thường. Lợi ích chính của thẻ mua hàng là tính hiệu quả do doanh nghiệp không phải thanh toán cho từng giao dịch nhỏ lẻ, và dễ dàng tổng hợp các hóa đơn thanh tóan để thanh toán gộp cho ngân hàng vào cuối kỳ thông qua phương thức chuyển tiền điện tử
Mặc dù doanh nghiệp bán hàng có thể đã sử dụng SSL để bảo mật các giao dịch, doanh nghiệp vẫn có thể phải chịu các rủi ro sau nếu chấp nhận thanh toán bằng thẻ tín dụng trực tuyến. Các rủi ro này không phụ thuộc vào bảo mật các thông tin trong quá trình giao dịch mà nằm ngay ở các yếu tố thông tin đầu và và các nghiệp vụ giao dịch thanh toán điện tử.
– Sử dụng thẻ bất hợp pháp: Nếu thẻ thanh toán bị sử dụng trái phép, người chủ thẻ không chấp nhận các khoản thanh toán đó. Khi đó ngân hàng phát hành thẻ sẽ ghi có lại cho chủ thẻ và đòi lại tiền từ người bán.
– Người mua thay đổi quyết định mua hàng: Nếu khách hàng trước đó đồng ý thanh toán nhưng sau đó từ chối, và ngân hàng phát hành thẻ đồng ý với từ chối đó, người bán sẽ phải chịu thiệt hại. Người bán có thể tránh những trường hợp tương tự như vậy bằng cách đưa ra bằng chứng chủ thẻ đã xác nhận thanh toán và nhận hàng. Hoặc giao dịch được thực hiện với chữ ký số, tuy nhiên hình thức xác nhận này rất đắt và rườm rà đối với hầu hết các giao dịch thanh toán bằng thẻ tín dụng trực tuyến.
– Mất trộm các thông tin của thẻ: Các trường hợp hacker đột nhập vào máy tính của doanh nghiệp nơi chứa các dữ liệu về thông tin thẻ tín dụng. Doanh nghiệp có thể tránh trường hợp này bằng cách lưu trữ các dữ liệu này trên một máy tính độc lập, không thể truy cập trực tiếp được từ internet.
Có nhiều lựa chọn thanh toán điện tử giữa doanh nghiệp với doanh nghiệp. Khi phải thanh toán cho nhà cung cấp hoặc để chấp nhận thanh toán từ đối tác, hầu hết các doanh nghiệp lớn thường chọn giải pháp Chuyển tiền điện tử hoặc các phương thức thanh toán “phi điện tử” (như séc thông thường), hoặc thẻ mua hàng. Đối với các giao dịch xuất nhập khẩu, doanh nghiệp vẫn sử dụng hình thức thanh toán quốc tế truyền thống như dùng thư tín dụng (L/C) hoặc điện chuyển tiền (TTR)
Với các doanh nghiệp thương mại điện tử vừa và nhỏ của Việt Nam hiện nay, điều cơ bản phải cân nhắc trước hết là sự sẵn có của dịch vụ và những tiện ích của dịch vụ đó ở Việt Nam.
Séc điện tử là phiên bản điện tử hoặc yêu cầu xuất trình điện tử đối với séc giấy thông thường. Séc điện tử chứa các thông tin tương tự như séc thường và có thể sử dụng trong mọi trường hợp và séc giấy có thể sử dụng với khung pháp lý điều chỉnh tương tự nhau. Về cơ bản, quy trình vận hành của séc điện tử tương tự như séc giấy, nhưng thực hiện toàn bộ thông qua các phương tiện điện tử, do đó nhanh hơn, ít chi phí hơn và có thể an toàn hơn. Séc điện tử được coi là phù hợp với thực tiễn kinh doanh hiện nay, vừa tận dụng được năng lực của các ngân hàng, vừa giảm thiểu các quy trình xử lý phức tạp. Với công nghệ bảo mật cao hiện nay, séc điện tử có thể được sử dụng cho mọi doanh nghiệp có tài khoản thanh toán tại ngân hàng, bao gồm cả các doanh nghiệp vừa và nhỏ. Các hệ thống thanh toán séc điện tử phổ biến hiện nay là eCheck Secure (của CheckFree), eCash.
Sau gần hai năm soạn thảo, ngày 29/11/2005, Luật Giao dịch điện tử đã được Quốc hội khóa XI, kỳ họp thứ 8 thông qua và có hiệu lực từ ngày 1/3/2006. Luật gồm 8 chương, 54 điều quy định về thông điệp dữ liệu, chữ ký điện tử và chứng thực chữ ký điện tử, giao kết và thực hiện hợp đồng điện tử, giao dịch điện tử của cơ quan nhà nước, an ninh, an toàn, bảo vệ, bảo mật trong giao dịch điện tử, giải quyết tranh chấp và xử lý vi phạm trong giao dịch điện tử. Được xây dựng dựa trên cấu trúc và nội dung Luật mẫu UNCITRAL về thương mại điện tử, Luật Giao dịch điện tử đã thừa nhận thông điệp dữ liệu không bị phủ nhận giá trị pháp lý, có giá trị như văn bản, bản gốc và làm chứng cứ. Luật cũng công nhận hợp đồng điện tử và các loại thông báo được thể hiện dưới dạng thông điệp dữ liệu.
Tuy đã tạo ra nền tảng pháp lý cho các giao dịch điện tử trong thương mại, nhưng Luật Giao dịch điện tử vẫn không thể thể hiện hết những đặc trưng riêng của thương mại điện tử, do vậy cần có văn bản dưới luật hướng dẫn chi tiết.
Các hành vi vi phạm pháp luật về thương mại điện tử bao gồm:
Ngăn cản, hạn chế khả năng của tổ chức, cá nhân trong việc sử dụng chứng từ điện tử.
Ngăn cản, hạn chế khả năng của tổ chức, cá nhân trong việc lựa chọn công nghệ, phương tiện điện tử để tiến hành hoạt động thương mại.
Thay đổi, xóa, hủy, sao chép, tiết lộ, di chuyển trái phép, giả mạo, chiếm đoạt một phần hoặc toàn bộ chứng từ điện tử.
Xâm phạm, phá hoại hệ thống thông tin sử dụng cho hoạt động thương mại điện tử.
Khởi tạo, gửi, truyền, nhận, xử lý các chứng từ điện tử nhằm thực hiện hành vi trái pháp luật.
Các hành vi vi phạm pháp luật khác liên quan tới sử dụng chứng từ điện tử theo quy định của pháp luật.
Chữ ký điện tử là dấu hiệu dưới dạng số hiệu, ký hiệu, chữ, số hay các hình thức thông tin khác dưới dạng số hoá được gắn với bản tin điện tử nhằm mục đích xác nhận người sở hữu bản tin đó. Còn chữ ký số là chữ ký điện tử được tạo ra bằng sự biến đổi một bản tin điện tử sử dụng hệ thống mật mã không đối xứng theo đó người có được bản tin điện tử ban đầu và khoá công khai có thể xác định được chinh xác.
Như vậy, chữ ký số thực ra chỉ là một loại của chữ ký điện tử. Do nhu cầu, tính phổ biến và mức độ an toàn cao nhất hiện nay của loại chữ ký này, nên trong Nghị định điều chỉnh Luật Giao dịch điện tử do Bộ Bưu chính Viễn thông chủ trì soạn thảo sẽ chỉ đề cập đến Chữ ký số và dịch vụ chứng thực chữ ký số.
Mật mã khoá công khai hay còn gọi là mật mã khoá phi đối xứng, sử dụng một cặp khoá bao gồm khoá công khai (public key) và khoá riêng (private key). Trong đó khoá công khai để mã hoá, còn khoá riêng để giải mã.
Trong hệ mật này, mỗi người dùng có một cặp khoá liên kết với nhau: khoá công khai dùng để mã hoá thì được công bố công khai như danh bạ điện thoại và khoá riêng dùng để giải mã thì được giữ bí mật. Việc biết được một trong hai khoá không thể suy ra khoá còn lại. Bất kỳ một người nào khác đều có thể lấy khoá công khai của người nhận để mã hoá thông tin cần gửi cho người nhận; chỉ suy nhất người nhận có khoá riêng tương ứng mới giải mã được bản tin mật đó. Trong hệ mật này, không cần giữ khoá công khai mà chỉ cần chắc chắn là người gửi thông tin đã sử dụng đúng khoá của người nhận.