soc-2

TSC

Trust Service Criteria

5 tiêu chí của SOC 2: Security (bắt buộc), Availability, Confidentiality, Processing Integrity, Privacy.

TSC (Trust Service Criteria), Tiêu Chí Dịch Vụ Tin Cậy

Định nghĩa

TSC (Trust Service Criteria) là bộ tiêu chí do AICPA (American Institute of Certified Public Accountants) ban hành, dùng làm nền tảng đánh giá trong kiểm toán SOC 2. Bộ tiêu chí này gồm 5 nhóm chính: Security (Bảo mật), Availability (Tính khả dụng), Confidentiality (Tính bảo mật thông tin), Processing Integrity (Tính toàn vẹn xử lý), và Privacy (Quyền riêng tư).

Trong đó, Security là tiêu chí bắt buộc đối với mọi tổ chức thực hiện SOC 2. Bốn tiêu chí còn lại được lựa chọn tùy theo phạm vi dịch vụ và cam kết với khách hàng. Mỗi tiêu chí được xây dựng từ các yêu cầu kiểm soát cụ thể, được gọi là Common Criteria (CC), cùng với các tiêu chí bổ sung dành riêng cho từng nhóm.

Tại Sao TSC Quan Trọng

Khi một tổ chức xử lý dữ liệu người dùng, dù là thông tin khách hàng doanh nghiệp hay dữ liệu cá nhân, việc chứng minh rằng hệ thống được vận hành theo các tiêu chuẩn kiểm soát rõ ràng là yếu tố then chốt để xây dựng lòng tin. TSC cung cấp ngôn ngữ chung để tổ chức kiểm toán, đối tác, và khách hàng cùng đánh giá mức độ an toàn và tin cậy của một hệ thống dịch vụ.

Đặc biệt trong bối cảnh các doanh nghiệp SaaS và nhà cung cấp dịch vụ đám mây ngày càng phổ biến, TSC trở thành tiêu chuẩn tham chiếu quan trọng khi ký kết hợp đồng hoặc trả lời câu hỏi từ đội ngũ mua hàng của đối tác.

Cách Áp Dụng Trong SOC 2

Khi tổ chức bắt đầu hành trình SOC 2, bước đầu tiên là xác định phạm vi TSC phù hợp với mô hình dịch vụ. Ví dụ:

  • Một nền tảng lưu trữ tài liệu pháp lý thường cần thêm Confidentiality để cam kết bảo vệ thông tin nhạy cảm.
  • Một hệ thống xử lý giao dịch tài chính có thể cần Processing Integrity để đảm bảo dữ liệu được xử lý đúng, đầy đủ và kịp thời.
  • Các dịch vụ B2B có SLA cao thường đưa Availability vào phạm vi để chứng minh mức độ uptime và khả năng phục hồi.

Sau khi xác định phạm vi, tổ chức cần xây dựng bộ kiểm soát nội bộ (controls) tương ứng với từng tiêu chí, thu thập bằng chứng vận hành, và duy trì liên tục theo thời gian để sẵn sàng cho kiểm toán.

Ví Dụ Thực Tế

Một công ty phần mềm nhân sự quyết định đạt chứng chỉ SOC 2 Type II. Họ chọn phạm vi gồm Security và Confidentiality vì sản phẩm lưu trữ hồ sơ nhân viên và thông tin lương. Trong quá trình chuẩn bị, họ triển khai kiểm soát truy cập theo nguyên tắc least privilege, mã hóa dữ liệu tĩnh và truyền tải, đồng thời xây dựng quy trình phản hồi sự cố. Tất cả các kiểm soát này được gắn trực tiếp vào các yêu cầu của TSC tương ứng.

Kết quả là khi kiểm toán viên độc lập thực hiện đánh giá, mọi kiểm soát đều có bằng chứng vận hành rõ ràng, giúp quá trình kiểm toán diễn ra thuận lợi.

Liên Quan Đến Compliance Automation

Theo dõi và duy trì bằng chứng cho từng tiêu chí TSC theo cách thủ công đòi hỏi nhiều công sức và dễ xảy ra sai sót, đặc biệt khi phạm vi kiểm toán mở rộng theo thời gian. Các nền tảng compliance automation giúp tổ chức ánh xạ kiểm soát vào đúng tiêu chí TSC, tự động hóa việc thu thập bằng chứng, và theo dõi trạng thái sẵn sàng kiểm toán theo thời gian thực, thay vì chỉ chuẩn bị vào thời điểm kiểm toán.

pTrackly hỗ trợ các nhóm compliance ánh xạ kiểm soát nội bộ vào từng tiêu chí TSC và theo dõi tiến độ xuyên suốt vòng đời SOC 2 một cách có hệ thống.

Sẵn sàng cho audit?

Đặt lịch gọi 15 phút. Xem nền tảng. Quyết định sau.

Đặt Demo Miễn Phí 15 phút, không ràng buộc
Không cần thẻ tín dụng Thiết lập trong 24 giờ Hủy bất cứ lúc nào
Đặt Lịch Demo