SOC 2 và PDPD: tuân thủ song song
Công ty Việt Nam có khách hàng Mỹ phải đối mặt với hai bộ yêu cầu cùng lúc: SOC 2 từ phía khách hàng doanh nghiệp, và PDPD từ phía pháp lý trong nước. Trang này phân tích chỗ overlap, chỗ khác biệt, và cách chạy hai chương trình mà không tốn công gấp đôi.
Ai cần tuân thủ cả hai?
Hãy lấy một ví dụ cụ thể: một công ty SaaS HR tech tại TP.HCM, sản phẩm lưu trữ dữ liệu nhân sự của người dùng Việt Nam. Công ty đó đã vào thị trường Mỹ, ký hợp đồng với một số doanh nghiệp có trụ sở tại San Francisco. Phía khách hàng Mỹ yêu cầu SOC 2 Type II report trong vòng 12 tháng. Đồng thời, vì hệ thống xử lý dữ liệu cá nhân của công dân Việt Nam, Nghị định 13/2023 áp dụng ngay từ thời điểm thu thập dữ liệu đầu tiên.
Tình huống này không hiếm. Nó phổ biến với fintech, healthtech, HR tech, và cloud SaaS có người dùng Việt Nam kết hợp với nhà đầu tư hoặc khách hàng B2B từ Mỹ. Outsourcing vendor cung cấp dịch vụ cho tập đoàn Mỹ mà xử lý PII của nhân viên Việt Nam cũng nằm trong nhóm này.
Mỗi framework yêu cầu gì?
- Tính chất Tự nguyện, không phải luật
- Mục đích Tiếp cận thị trường B2B tại Mỹ
- Đầu ra Báo cáo audit do CPA firm cấp
- Cơ sở 5 Trust Service Criteria (Security, Availability, Confidentiality, Processing Integrity, Privacy)
- Gia hạn Thường hàng năm (Type II)
- Thực thi Áp lực thị trường, không có cơ quan thực thi
- Tính chất Pháp lý, bắt buộc
- Hiệu lực Từ tháng 7/2023
- Phạm vi Dữ liệu cá nhân của công dân Việt Nam
- Cơ quan thực thi Bộ Công an (A05)
- Hậu quả vi phạm Phạt tiền, xử lý hành chính
- Đặc thù Đăng ký bắt buộc cho dữ liệu nhạy cảm, cơ chế consent, kiểm soát chuyển dữ liệu ra nước ngoài
Overlap và khoảng trống
| Yêu cầu | SOC 2 | PDPD / NĐ 13 |
|---|---|---|
| Kiểm soát quyền truy cập dữ liệu cá nhân | Có | Có |
| Thông báo xâm phạm dữ liệu | Có (thông báo khách hàng) | Có (thông báo Bộ Công an trong 72h) |
| Chính sách bảo mật nội bộ | Có | Có |
| Tối thiểu hóa dữ liệu | Một phần | Có |
| Cơ chế consent của người dùng | Không | Có |
| Đăng ký xử lý dữ liệu nhạy cảm | Không | Có (bắt buộc) |
| Kiểm soát chuyển dữ liệu ra nước ngoài | Không | Có (quy định riêng trong PDPD) |
| Hợp đồng với bên thứ ba / nhà cung cấp | Có | Có |
Cách chạy song song hai chương trình
Xây dựng một bộ control inventory chung
Đừng tạo hai chương trình riêng biệt. Bắt đầu bằng cách liệt kê tất cả các controls kỹ thuật và quy trình đang có, sau đó gắn nhãn từng control theo framework nào nó đáp ứng. Một access control policy tốt có thể thỏa mãn cả SOC 2 CC6 lẫn yêu cầu quyền truy cập theo PDPD cùng lúc.
Map controls song song trong gap assessment
Khi làm gap assessment, dùng bảng mapping hai chiều: cột SOC 2 TSC và cột PDPD requirements. Với mỗi khoảng trống phát hiện ra, phân loại xem nó chỉ thiếu cho một framework hay cả hai. Các gaps thuộc PDPD mà SOC 2 không cover thường là: consent management, data localization, và đăng ký dữ liệu nhạy cảm.
PDPD-specific actions mà SOC 2 không bao gồm
- Bổ nhiệm Data Protection Officer (DPO) nội bộ hoặc thuê ngoài
- Đăng ký với Bộ Công an nếu xử lý dữ liệu nhạy cảm (sức khỏe, tài chính, sinh trắc học, dân tộc)
- Xây dựng consent management flow riêng cho dữ liệu người dùng Việt Nam, bao gồm cả cơ chế rút lại consent
- Đánh giá và lập tài liệu về việc chuyển dữ liệu ra nước ngoài nếu dùng cloud provider ngoài Việt Nam
Dùng compliance platform để tránh duplicate evidence
Khi một control được kiểm tra cho cả SOC 2 và PDPD, evidence chỉ nên thu thập một lần. Một compliance platform có multi-framework mapping cho phép link một evidence artifact tới nhiều requirement, thay vì tạo hai bộ tài liệu riêng biệt. Điều này giảm thời gian chuẩn bị audit đáng kể khi đến kỳ SOC 2 Type II observation.
Câu hỏi thường gặp
PDPD và SOC 2 có overlap không?
Có một phần. Cả hai đều yêu cầu kiểm soát quyền truy cập dữ liệu cá nhân, thông báo xâm phạm dữ liệu, và chính sách bảo mật nội bộ. Tuy nhiên PDPD là quy định pháp lý của Việt Nam với yêu cầu cụ thể về xử lý dữ liệu cá nhân của người Việt Nam, còn SOC 2 là framework tự nguyện cho dịch vụ B2B.
Làm SOC 2 có giúp tuân thủ PDPD không?
Một phần. SOC 2 xây dựng nền tảng controls về bảo mật dữ liệu mà PDPD cũng yêu cầu. Nhưng SOC 2 không cover các nghĩa vụ đặc thù của PDPD như đăng ký xử lý dữ liệu nhạy cảm với Bộ Công an, hay các yêu cầu về consent theo Nghị định 13.
Công ty có thể làm SOC 2 và PDPD cùng lúc không?
Có. Nhiều controls trùng nhau nên không cần build hai chương trình độc lập. Cách hiệu quả nhất là xây dựng control framework chung, sau đó map từng control sang SOC 2 TSC và PDPD requirements song song.
Sẵn sàng cho audit?
Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.
Đặt Demo Miễn Phí 15 phút, không ràng buộc