SOC 2 cho công ty IT outsourcing Việt Nam
Khi nào khách hàng Mỹ thực sự yêu cầu, phạm vi áp dụng cho outsourcing, và roadmap thực tế để bắt đầu.
Khi nào khách hàng Mỹ thực sự hỏi về SOC 2
Không phải deal nào cũng đặt ra câu hỏi này. Với startup Mỹ nhỏ hoặc SMB, topic này thường không xuất hiện. Nhưng với enterprise và fintech, có bốn tình huống rất cụ thể:
Procurement gửi một bảng hỏi 80-150 câu. Một trong những câu đầu tiên: "Do you have a SOC 2 Type II report?" Nếu trả lời không, deal không bị block ngay, nhưng security team sẽ escalate và yêu cầu compensating controls.
Master Service Agreement của khách hàng ghi: "Service Provider shall maintain SOC 2 Type II compliance and provide an annual report upon request." Ký MSA đó nghĩa là bạn cam kết có báo cáo.
Technical scoping xong, commercial terms đồng ý, rồi CISO của khách hàng step in. Họ yêu cầu evidence về access controls và incident response. Không có SOC 2 report, bạn phải gửi từng policy document một. Quy trình này kéo dài nhiều tuần.
RFP liệt kê SOC 2 Type II report là mandatory requirement. Không có report, hồ sơ bị loại ở vòng qualification trước khi vào technical evaluation.
Nếu bạn chưa gặp bất kỳ tình huống nào ở trên, SOC 2 chưa phải ưu tiên ngay. Khi pipeline bắt đầu có deal enterprise Mỹ, đó là lúc nên bắt đầu gap assessment.
SOC 2 bao gồm gì cho một công ty outsourcing
Với một công ty outsourcing phần mềm hoặc BPO, scope của SOC 2 thường bao gồm môi trường phát triển phần mềm: quyền truy cập source code và production environment, quản lý tài khoản nhân viên (onboarding, offboarding, least privilege), cách xử lý dữ liệu khách hàng trong quá trình phát triển và test, quy trình phản ứng sự cố khi có breach hoặc unauthorized access, và logging, monitoring các hệ thống nội bộ. Auditor xem xét liệu các controls này có được thiết kế đúng (Type I) hoặc hoạt động hiệu quả trong một khoảng thời gian (Type II). Không có yêu cầu nào về số lượng nhân viên hay doanh thu: scope do bạn và auditor đồng ý xác định.
SOC 2 so với ISO 27001 trong bối cảnh outsourcing
| Tiêu chí | SOC 2 | ISO 27001 |
|---|---|---|
| Ai yêu cầu | Enterprise và fintech Mỹ | Nhật, EU, Singapore, global enterprise |
| Dạng đầu ra | Audit report (không phải chứng chỉ) | Chứng chỉ quốc tế (certificate) |
| Overlap controls | 60-70% controls trùng nhau | |
| Thời gian đến chứng nhận đầu tiên | Type I: 3-6 tháng | Certificate: 6-18 tháng |
| Phí audit hàng năm | Hỏi 2-3 CPA firm để so sánh | Tùy CB và quy mô |
Roadmap: từng bước lấy SOC 2 cho công ty outsourcing
Xác định scope, chọn Trust Service Criteria (thường là Security là bắt buộc, Availability và Confidentiality tùy yêu cầu khách hàng). Đánh giá controls hiện tại, liệt kê gaps.
Bốn nhóm controls chính cần có: quản lý access (MFA, least privilege, access review định kỳ), logging và monitoring, incident response procedure với runbook và bài test, HR security (onboarding checklist, background check policy, offboarding revocation).
CPA firm kiểm tra thiết kế của controls tại một thời điểm cụ thể. Type I report cho thấy controls được thiết kế phù hợp. Một số khách hàng chấp nhận Type I trong khi chờ Type II.
Controls phải vận hành ổn định trong tối thiểu 6 tháng. Trong thời gian này, thu thập evidence liên tục: access logs, change management records, incident reports, vendor review records. Đây là giai đoạn quan trọng nhất về mặt execution.
CPA firm đánh giá cả thiết kế lẫn hiệu quả vận hành trong suốt observation period. Kết quả là SOC 2 Type II report mà khách hàng enterprise Mỹ yêu cầu.
Chi phí thực tế: cần biết trước khi lập ngân sách
Readiness assessment qua consultant ở thị trường Mỹ thường rơi vào khoảng $5,000 đến $20,000 tùy phạm vi và số lượng controls cần đánh giá. Consultant trong nước tại Việt Nam có thể có mức giá khác biệt đáng kể.
Phí audit thực tế biến động nhiều theo scope và CPA firm bạn chọn. Không có con số tổng chi phí đáng tin cậy để đưa ra ở đây vì dao động quá lớn giữa các trường hợp. Cách thực tế nhất là hỏi trực tiếp 2-3 CPA firm được AICPA công nhận, mô tả scope cụ thể của bạn (số hệ thống, số nhân viên trong scope, TSC được chọn), và so sánh quotes trước khi lập ngân sách.
Câu hỏi thường gặp
Khách hàng Mỹ có thực sự yêu cầu SOC 2 không?
Không phải tất cả, nhưng enterprise và fintech Mỹ thường yêu cầu. Dấu hiệu rõ nhất là vendor security questionnaire hoặc Master Service Agreement có điều khoản về SOC 2. Startup và SMB ít yêu cầu hơn.
Công ty outsourcing 50 người có cần SOC 2 không?
Phụ thuộc vào khách hàng, không phải quy mô công ty. Nếu một khách hàng lớn ở Mỹ yêu cầu SOC 2 report, quy mô 50 người vẫn phải làm nếu muốn giữ hợp đồng. Nếu tất cả khách hàng là startup hoặc SMB, bạn có thể không cần.
SOC 2 hay ISO 27001 phù hợp hơn với outsourcing?
ISO 27001 phù hợp hơn nếu bạn có khách hàng ở Nhật, EU, hoặc Singapore. SOC 2 phù hợp hơn nếu khách hàng chủ yếu ở Mỹ. Nhiều công ty outsourcing lớn ở Việt Nam làm cả hai vì phục vụ cả hai thị trường.
Sẵn sàng cho audit?
Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.
Đặt Demo Miễn Phí 15 phút, không ràng buộc