SOC 2 · Fintech

SOC 2 cho fintech Việt Nam

Fintech Việt Nam đang chịu hai áp lực compliance khác nhau cùng lúc. Phía ngoài: US customers và investor yêu cầu SOC 2 report. Phía trong: luật Việt Nam, đặc biệt PDPD (Nghị định 13/2023) và Thông tư 09/2020/TT-NHNN cho digital banking, đặt ra nghĩa vụ bắt buộc. Trang này phân tích framework nào áp dụng cho trường hợp nào.

Viết bởi đội ngũ Compliance pTrackly · Cập nhật tháng 7/2026 · AICPA SOC 2 & PCI DSS v4

Khi nào việc mở rộng sang Mỹ kéo theo SOC 2?

SOC 2 không phải luật, không ai ép buộc trực tiếp. Nhưng các tình huống cụ thể dưới đây khiến SOC 2 trở nên bắt buộc trên thực tế.

01

Hợp đồng vendor với enterprise Mỹ

Một US fintech hoặc bank muốn tích hợp API của bạn vào hệ thống của họ. Bộ phận security và legal của họ gửi vendor questionnaire, và một trong những câu hỏi đầu tiên là: "Bạn có SOC 2 Type II report không?" Nếu câu trả lời là không, quy trình onboarding thường dừng lại hoặc kéo dài thêm nhiều tháng.

02

Due diligence Series A/B với quỹ Mỹ

Từ Series A trở lên, quỹ đầu tư Mỹ thường có checklist security riêng. SOC 2 Type II hoặc ít nhất là một lộ trình cụ thể để đạt nó trong 12 tháng tới thường được kỳ vọng. Thiếu nó không tự động kill deal, nhưng buộc bạn phải giải thích và cam kết timeline.

03

Partnership với payment processor hoặc BaaS provider Mỹ

Stripe, Marqeta, Synapse và các BaaS provider tương tự thường yêu cầu đối tác cung cấp bằng chứng bảo mật trước khi cấp quyền truy cập production. SOC 2 là cách phổ biến nhất để đáp ứng yêu cầu này, đặc biệt khi bạn xử lý dữ liệu tài chính của người dùng cuối.

04

SWIFT membership hoặc quan hệ ngân hàng đại lý

Một số ngân hàng đại lý và tổ chức trong mạng SWIFT yêu cầu bằng chứng kiểm soát bảo mật độc lập khi onboarding đối tác mới từ các thị trường rủi ro cao hơn. SOC 2 Type II cung cấp đúng loại bằng chứng này, vì nó được thực hiện bởi CPA firm độc lập của Mỹ.

So sánh framework cho fintech

Framework Ai yêu cầu Bao gồm Khi nào cần
SOC 2 US customers, US investors Bảo mật dữ liệu cho service org Bán cho enterprise Mỹ, huy động vốn Mỹ
ISO 27001 Khách hàng Nhật, EU, Singapore ISMS toàn diện Mở rộng quốc tế ngoài Mỹ
PCI DSS Mạng lưới thẻ thanh toán Dữ liệu chủ thẻ Xử lý thanh toán thẻ bất kỳ đâu
PDPD / Nghị định 13 Luật Việt Nam Dữ liệu cá nhân của người Việt Hoạt động tại Việt Nam (bắt buộc)

Circular 09/2020/TT-NHNN áp dụng riêng cho tổ chức tín dụng và fintech digital banking được cấp phép tại Việt Nam, bao gồm các yêu cầu về bảo mật thông tin và quản lý rủi ro công nghệ.

Control overlap giữa SOC 2 và PCI DSS

Nếu bạn đã có PCI DSS, một phần đáng kể các controls của SOC 2 đã được xây dựng. Access control, mã hóa dữ liệu, logging và monitoring, quản lý incident response, tất cả đều xuất hiện trong cả hai framework. Điều đó không có nghĩa SOC 2 là free nếu bạn đã có PCI DSS. Quy trình audit hoàn toàn tách biệt: SOC 2 yêu cầu CPA firm được AICPA công nhận, còn PCI DSS yêu cầu Qualified Security Assessor (QSA). Evidence collection, observation period (tối thiểu 6 tháng với SOC 2 Type II), và cách auditor đặt câu hỏi cũng khác nhau. Nhưng điểm xuất phát của bạn sẽ tốt hơn đáng kể so với một fintech chưa có framework nào.

Access control Mã hóa / Encryption Logging & monitoring Incident response Vulnerability management

Compliance stack cho fintech Việt Nam

Framework bạn cần phụ thuộc vào địa lý và loại dịch vụ, không phải một công thức chung nào.

Tối thiểu (chỉ Việt Nam)
PDPD / Nghị định 13 Bắt buộc nếu xử lý dữ liệu cá nhân của người dùng tại Việt Nam. Không có ngoại lệ.
Thông tư 09/2020/TT-NHNN Bắt buộc với fintech digital banking được NHNN cấp phép. Bao gồm yêu cầu bảo mật hệ thống và quản lý rủi ro công nghệ.
Mở rộng sang SEA / Nhật / EU
ISO 27001 Thêm ISO 27001 khi nhắm các thị trường yêu cầu chứng nhận ISMS. Nhật Bản và Singapore đặc biệt xem trọng ISO 27001 trong vendor due diligence.
Thị trường Mỹ hoặc investor Mỹ
SOC 2 Thêm SOC 2 khi bán cho US enterprise hoặc cần vượt qua security due diligence của US VC/PE. Type I trước để có report nhanh, Type II sau để satisfy enterprise contracts dài hạn.
Xử lý thanh toán thẻ (bất kỳ địa lý nào)
PCI DSS v4 Bắt buộc khi xử lý, lưu trữ hoặc truyền dữ liệu thẻ Visa, Mastercard, hoặc các mạng lưới khác. Mức SAQ hay ROC phụ thuộc vào volume giao dịch và cách tích hợp thanh toán.

Câu hỏi thường gặp

Fintech Việt Nam có cần SOC 2 không?

Phụ thuộc vào chiến lược mở rộng. Nếu nhắm thị trường Mỹ hoặc huy động vốn từ investor Mỹ, SOC 2 thường được yêu cầu trong due diligence. Nếu chỉ hoạt động tại Việt Nam hoặc Đông Nam Á, ISO 27001 và PDPD thường đủ.

Fintech đã có PCI DSS có cần thêm SOC 2 không?

PCI DSS và SOC 2 phục vụ mục đích khác nhau. PCI DSS yêu cầu cho xử lý thẻ thanh toán, SOC 2 là về tin cậy dữ liệu B2B cho enterprise customers. Hai framework có một số control overlap nhưng không thay thế nhau. Nhiều fintech Mỹ yêu cầu cả hai.

Investor Mỹ có yêu cầu SOC 2 không khi đầu tư vào fintech Việt Nam?

Thường được hỏi trong due diligence Series A trở lên, đặc biệt khi investor là quỹ Mỹ. SOC 2 Type II hoặc ít nhất là roadmap rõ ràng để đạt SOC 2 thường được kỳ vọng. Startup ở giai đoạn seed ít bị yêu cầu hơn.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo