SOC 2 Guide

SOC 2 là gì?

Hướng dẫn từ A đến Z về SOC 2 cho công ty Việt Nam muốn bán vào thị trường Mỹ

Viết bởi đội ngũ Compliance pTrackly · Cập nhật tháng 7/2026 · AICPA TSC 2017

SOC 2 là gì?

SOC 2 (Service Organization Control 2) là một loại báo cáo audit do AICPA (American Institute of Certified Public Accountants) xây dựng. Không phải luật, không phải chứng chỉ có thể treo lên tường. Đây là báo cáo từ một CPA firm độc lập, xác nhận rằng hệ thống của bạn đáp ứng các tiêu chí bảo mật nhất định.

Vì sao SOC 2 quan trọng với công ty Việt Nam? Vì khách hàng enterprise Mỹ hỏi. Khi bạn gửi proposal cho một công ty ở San Francisco hay New York, security questionnaire của họ thường có dòng: "Do you have a SOC 2 report?" Không có báo cáo, deal có thể dừng tại đó.

SOC 2 dựa trên 5 Trust Service Criteria (TSC). Security là bắt buộc trong mọi audit. Bốn tiêu chí còn lại bạn chọn theo phạm vi dịch vụ:

Bắt buộc
Security (CC)

Bảo vệ hệ thống khỏi truy cập trái phép. Xuất hiện trong mọi SOC 2 report.

Tuỳ chọn
Availability

Hệ thống có sẵn để sử dụng theo cam kết. Quan trọng với SaaS có SLA uptime.

Tuỳ chọn
Confidentiality

Thông tin được bảo mật theo cam kết. Thường thêm vào khi xử lý dữ liệu nhạy cảm.

Tuỳ chọn
Processing Integrity

Xử lý hệ thống hoàn chỉnh, hợp lệ, chính xác, kịp thời. Phù hợp với fintech và payment processing.

Tuỳ chọn
Privacy

Thu thập, sử dụng, lưu giữ và tiết lộ thông tin cá nhân theo đúng cam kết.

Phần lớn công ty Việt Nam bắt đầu với Security + Availability. Đó là scope tối thiểu mà enterprise Mỹ chấp nhận.

SOC 2 Type I và Type II

Đây là câu hỏi đầu tiên auditor sẽ hỏi bạn. Hai loại khác nhau không phải về mức độ bảo mật, mà về cách audit được thực hiện.

Type I
Kiểm tra tại một thời điểm
  • Phương pháp Auditor xác nhận controls được thiết kế đúng tại ngày audit
  • Observation period Không có
  • Timeline 3 đến 6 tháng từ khi bắt đầu
  • Dùng cho Credential ban đầu, chứng minh với khách hàng rằng bạn đang đi đúng hướng
Type II
Kiểm tra hoạt động liên tục
  • Phương pháp Auditor kiểm tra controls thực sự vận hành suốt observation period
  • Observation period Tối thiểu 6 tháng (thường 12 tháng)
  • Timeline 9 đến 18 tháng từ khi bắt đầu
  • Dùng cho Enterprise sales Mỹ, vendor agreements, hợp đồng lớn

Nhiều công ty làm Type I trước để có gì đó trình cho khách hàng trong khi observation period cho Type II đang chạy. Cách này rút ngắn thời gian chờ deal.

Ai cần SOC 2 ở Việt Nam?

SaaS
SaaS providers

Nếu phần mềm của bạn lưu trữ hoặc xử lý dữ liệu cho khách hàng Mỹ, SOC 2 gần như là điều kiện để vào vendor list của họ.

Cloud
Cloud và hosting providers

Khách hàng cần biết dữ liệu họ trên infrastructure của bạn được bảo vệ như thế nào. SOC 2 là câu trả lời tiêu chuẩn.

IT/BPO
IT và BPO outsourcing

Khi team của bạn có access vào hệ thống hoặc dữ liệu của client Mỹ, họ cần bằng chứng bạn quản lý access đó đúng cách.

Fintech
Fintech, digital banking, bảo hiểm

Dữ liệu tài chính và giao dịch có yêu cầu bảo mật cao. SOC 2 cùng với Processing Integrity TSC thường được yêu cầu trong ngành này.

Startup
Startup tìm kiếm đầu tư Mỹ

Một số VC Mỹ và accelerator yêu cầu SOC 2 như phần của due diligence, đặc biệt với B2B SaaS ở giai đoạn Series A trở lên.

SOC 2 vs ISO 27001: so sánh nhanh

Hai framework này cùng giải quyết bảo mật thông tin nhưng phục vụ các thị trường khác nhau. Biết sự khác biệt giúp bạn chọn đúng.

Tiêu chí SOC 2 ISO 27001
Thị trường chính Mỹ, Canada Toàn cầu, EU, Nhật Bản, Singapore
Loại đầu ra Báo cáo audit (report) Chứng chỉ (certificate)
Tổ chức ban hành AICPA (Mỹ) ISO/IEC (quốc tế)
Control overlap ~60-70% controls trùng nhau, có thể làm song song
Nên chọn khi Khách hàng target ở Mỹ/Canada yêu cầu SOC 2 report cụ thể Nhắm thị trường Nhật, EU, Singapore hoặc muốn chứng nhận quốc tế

Câu hỏi thường gặp

SOC 2 có bắt buộc theo luật không?

Không. SOC 2 không có nghĩa vụ pháp lý ở bất kỳ quốc gia nào. Doanh nghiệp làm SOC 2 vì khách hàng Mỹ yêu cầu, không phải vì luật. Nếu bạn không bán cho enterprise ở Mỹ, bạn có thể không cần SOC 2.

SOC 2 Type I và Type II khác nhau thế nào?

Type I kiểm tra rằng controls được thiết kế đúng tại một thời điểm cụ thể. Type II kiểm tra rằng controls thực sự hoạt động liên tục trong ít nhất 6 tháng (observation period). Enterprise Mỹ thường yêu cầu Type II trước khi ký hợp đồng lớn.

Công ty outsourcing Việt Nam có cần SOC 2 không?

Phụ thuộc vào khách hàng. Nếu khách hàng là enterprise Mỹ yêu cầu SOC 2 report trong security questionnaire hoặc vendor agreement, thì có. Nhiều công ty outsourcing Việt Nam đang làm SOC 2 để mở rộng sang thị trường Mỹ.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo