SOC 2 · IT Outsourcing

SOC 2 cho công ty IT outsourcing Việt Nam

Khi nào khách hàng Mỹ thực sự yêu cầu, phạm vi áp dụng cho outsourcing, và roadmap thực tế để bắt đầu.

Viết bởi đội ngũ Compliance pTrackly · Cập nhật tháng 7/2026 · AICPA SOC 2

Khi nào khách hàng Mỹ thực sự hỏi về SOC 2

Không phải deal nào cũng đặt ra câu hỏi này. Với startup Mỹ nhỏ hoặc SMB, topic này thường không xuất hiện. Nhưng với enterprise và fintech, có bốn tình huống rất cụ thể:

01
Vendor security questionnaire

Procurement gửi một bảng hỏi 80-150 câu. Một trong những câu đầu tiên: "Do you have a SOC 2 Type II report?" Nếu trả lời không, deal không bị block ngay, nhưng security team sẽ escalate và yêu cầu compensating controls.

02
MSA có điều khoản SOC 2 rõ ràng

Master Service Agreement của khách hàng ghi: "Service Provider shall maintain SOC 2 Type II compliance and provide an annual report upon request." Ký MSA đó nghĩa là bạn cam kết có báo cáo.

03
Deal bị chặn ở security review

Technical scoping xong, commercial terms đồng ý, rồi CISO của khách hàng step in. Họ yêu cầu evidence về access controls và incident response. Không có SOC 2 report, bạn phải gửi từng policy document một. Quy trình này kéo dài nhiều tuần.

04
RFP enterprise có yêu cầu bắt buộc

RFP liệt kê SOC 2 Type II report là mandatory requirement. Không có report, hồ sơ bị loại ở vòng qualification trước khi vào technical evaluation.

Nếu bạn chưa gặp bất kỳ tình huống nào ở trên, SOC 2 chưa phải ưu tiên ngay. Khi pipeline bắt đầu có deal enterprise Mỹ, đó là lúc nên bắt đầu gap assessment.

SOC 2 bao gồm gì cho một công ty outsourcing

Với một công ty outsourcing phần mềm hoặc BPO, scope của SOC 2 thường bao gồm môi trường phát triển phần mềm: quyền truy cập source code và production environment, quản lý tài khoản nhân viên (onboarding, offboarding, least privilege), cách xử lý dữ liệu khách hàng trong quá trình phát triển và test, quy trình phản ứng sự cố khi có breach hoặc unauthorized access, và logging, monitoring các hệ thống nội bộ. Auditor xem xét liệu các controls này có được thiết kế đúng (Type I) hoặc hoạt động hiệu quả trong một khoảng thời gian (Type II). Không có yêu cầu nào về số lượng nhân viên hay doanh thu: scope do bạn và auditor đồng ý xác định.

SOC 2 so với ISO 27001 trong bối cảnh outsourcing

Tiêu chí SOC 2 ISO 27001
Ai yêu cầu Enterprise và fintech Mỹ Nhật, EU, Singapore, global enterprise
Dạng đầu ra Audit report (không phải chứng chỉ) Chứng chỉ quốc tế (certificate)
Overlap controls 60-70% controls trùng nhau
Thời gian đến chứng nhận đầu tiên Type I: 3-6 tháng Certificate: 6-18 tháng
Phí audit hàng năm Hỏi 2-3 CPA firm để so sánh Tùy CB và quy mô
Lưu ý: Nếu công ty đã có ISO 27001, phần lớn controls cần cho SOC 2 đã có. Gap thường nằm ở evidence collection process và observation period, không phải phải xây lại từ đầu.

Roadmap: từng bước lấy SOC 2 cho công ty outsourcing

Tháng 1-2
Gap assessment và readiness review

Xác định scope, chọn Trust Service Criteria (thường là Security là bắt buộc, Availability và Confidentiality tùy yêu cầu khách hàng). Đánh giá controls hiện tại, liệt kê gaps.

Tháng 2-4
Triển khai controls

Bốn nhóm controls chính cần có: quản lý access (MFA, least privilege, access review định kỳ), logging và monitoring, incident response procedure với runbook và bài test, HR security (onboarding checklist, background check policy, offboarding revocation).

Tháng 4-5
Type I audit

CPA firm kiểm tra thiết kế của controls tại một thời điểm cụ thể. Type I report cho thấy controls được thiết kế phù hợp. Một số khách hàng chấp nhận Type I trong khi chờ Type II.

Tháng 5-11
Observation period và thu thập evidence

Controls phải vận hành ổn định trong tối thiểu 6 tháng. Trong thời gian này, thu thập evidence liên tục: access logs, change management records, incident reports, vendor review records. Đây là giai đoạn quan trọng nhất về mặt execution.

Tháng 12-15
Type II audit

CPA firm đánh giá cả thiết kế lẫn hiệu quả vận hành trong suốt observation period. Kết quả là SOC 2 Type II report mà khách hàng enterprise Mỹ yêu cầu.

Chi phí thực tế: cần biết trước khi lập ngân sách

Readiness assessment qua consultant ở thị trường Mỹ thường rơi vào khoảng $5,000 đến $20,000 tùy phạm vi và số lượng controls cần đánh giá. Consultant trong nước tại Việt Nam có thể có mức giá khác biệt đáng kể.

Phí audit thực tế biến động nhiều theo scope và CPA firm bạn chọn. Không có con số tổng chi phí đáng tin cậy để đưa ra ở đây vì dao động quá lớn giữa các trường hợp. Cách thực tế nhất là hỏi trực tiếp 2-3 CPA firm được AICPA công nhận, mô tả scope cụ thể của bạn (số hệ thống, số nhân viên trong scope, TSC được chọn), và so sánh quotes trước khi lập ngân sách.

Ngoài chi phí audit, tính thêm: chi phí công cụ compliance (nếu dùng platform tự động hóa evidence), thời gian nhân lực nội bộ để triển khai controls và thu thập evidence, và chi phí remediation nếu gap assessment phát hiện vấn đề lớn về infrastructure.

Câu hỏi thường gặp

Khách hàng Mỹ có thực sự yêu cầu SOC 2 không?

Không phải tất cả, nhưng enterprise và fintech Mỹ thường yêu cầu. Dấu hiệu rõ nhất là vendor security questionnaire hoặc Master Service Agreement có điều khoản về SOC 2. Startup và SMB ít yêu cầu hơn.

Công ty outsourcing 50 người có cần SOC 2 không?

Phụ thuộc vào khách hàng, không phải quy mô công ty. Nếu một khách hàng lớn ở Mỹ yêu cầu SOC 2 report, quy mô 50 người vẫn phải làm nếu muốn giữ hợp đồng. Nếu tất cả khách hàng là startup hoặc SMB, bạn có thể không cần.

SOC 2 hay ISO 27001 phù hợp hơn với outsourcing?

ISO 27001 phù hợp hơn nếu bạn có khách hàng ở Nhật, EU, hoặc Singapore. SOC 2 phù hợp hơn nếu khách hàng chủ yếu ở Mỹ. Nhiều công ty outsourcing lớn ở Việt Nam làm cả hai vì phục vụ cả hai thị trường.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo