5 Trust Service Criteria Là Gì?
SOC 2 không phải là một bộ tiêu chí cố định mà doanh nghiệp bắt buộc phải đáp ứng toàn bộ. Thay vào đó, AICPA thiết kế SOC 2 xoay quanh 5 Trust Service Criteria (TSC), và bạn có thể chọn áp dụng một hoặc nhiều criteria tùy theo bản chất dịch vụ của mình. Hiểu rõ từng criteria giúp doanh nghiệp xác định đúng phạm vi kiểm toán, tránh lãng phí nguồn lực vào những tiêu chí không phù hợp, và đồng thời trả lời được câu hỏi từ khách hàng: "Bạn đang bảo vệ dữ liệu của tôi theo tiêu chuẩn nào?"
Security, Criteria Bắt Buộc Duy Nhất
Security (còn gọi là Common Criteria) là criteria bắt buộc trong mọi báo cáo SOC 2. Không có ngoại lệ. Criteria này đánh giá liệu hệ thống của bạn có được bảo vệ trước các mối đe dọa không được phép, bao gồm truy cập trái phép, phá hoại dữ liệu, và gián đoạn dịch vụ.
Các kiểm soát nằm trong Security thường bao gồm:
- Logical and physical access controls: ai được phép truy cập hệ thống, theo cơ chế nào
- Change management: quy trình kiểm soát thay đổi trên hệ thống sản xuất
- Risk assessment: quy trình đánh giá và xử lý rủi ro định kỳ
- Incident response: quy trình phát hiện, xử lý, và báo cáo sự cố bảo mật
- Monitoring: giám sát liên tục hoạt động bất thường trên hệ thống
Trong suốt observation period (thường từ 6 đến 12 tháng đối với SOC 2 Type II), CPA firm sẽ kiểm tra tính hiệu quả của các kiểm soát này theo thời gian, không chỉ tại một thời điểm.
4 Criteria Tùy Chọn, Khi Nào Nên Áp Dụng?
Availability
Availability đánh giá khả năng hệ thống hoạt động và sẵn sàng phục vụ theo cam kết trong hợp đồng với khách hàng. Criteria này phù hợp nếu doanh nghiệp bạn cung cấp dịch vụ SaaS, hạ tầng cloud, hoặc bất kỳ dịch vụ nào mà thời gian uptime là yếu tố quan trọng trong SLA.
Nếu khách hàng của bạn thường xuyên hỏi về SLA, disaster recovery plan, hoặc RTO/RPO, đây là dấu hiệu rõ ràng rằng Availability criteria nên được đưa vào phạm vi kiểm toán.
Confidentiality
Confidentiality tập trung vào việc thông tin được chỉ định là bảo mật có được bảo vệ theo đúng cam kết hay không. Điểm khác biệt quan trọng: Confidentiality không đề cập đến mọi loại dữ liệu, mà chỉ áp dụng cho thông tin mà cả hai bên đã thỏa thuận là confidential, ví dụ dữ liệu kinh doanh nhạy cảm, thông tin tài chính của doanh nghiệp khách hàng, hoặc tài sản trí tuệ.
Criteria này đặc biệt phù hợp cho các công ty B2B xử lý dữ liệu nội bộ của doanh nghiệp khác, hoặc các nền tảng SaaS phục vụ ngành tài chính, pháp lý.
Processing Integrity
Processing Integrity đánh giá liệu quá trình xử lý dữ liệu có đầy đủ, chính xác, kịp thời, và được ủy quyền hay không. Criteria này không phổ biến, nhưng lại quan trọng đối với các hệ thống xử lý giao dịch tài chính, hệ thống tính lương, hoặc bất kỳ pipeline nào mà tính toàn vẹn của output ảnh hưởng trực tiếp đến quyết định kinh doanh.
Nếu lỗi xử lý dữ liệu trong hệ thống của bạn có thể gây ra hậu quả tài chính hoặc pháp lý cho khách hàng, Processing Integrity nên được cân nhắc nghiêm túc.
Privacy
Privacy đánh giá cách doanh nghiệp thu thập, sử dụng, lưu trữ, tiết lộ, và tiêu hủy thông tin cá nhân theo đúng cam kết trong privacy notice và các nguyên tắc của AICPA. Đây là criteria phức tạp nhất về mặt tài liệu và quy trình.
Doanh nghiệp xử lý dữ liệu cá nhân ở quy mô lớn, đặc biệt nếu có khách hàng tại thị trường yêu cầu tuân thủ các quy định bảo vệ dữ liệu, sẽ thấy Privacy criteria vừa có giá trị kiểm toán, vừa hỗ trợ compliance tổng thể.
Làm Thế Nào Để Chọn Đúng Criteria?
Không có công thức chung. Lựa chọn criteria phụ thuộc vào ba yếu tố chính:
- Yêu cầu từ khách hàng hoặc đối tác: Nhiều doanh nghiệp bắt đầu SOC 2 vì khách hàng enterprise yêu cầu. Hãy hỏi thẳng xem họ cần criteria nào.
- Bản chất dịch vụ: Một nền tảng lưu trữ file khác với một hệ thống xử lý thanh toán. Criteria phù hợp phản ánh đúng rủi ro trong mô hình vận hành của bạn.
- Năng lực kiểm soát hiện tại: Thêm criteria đồng nghĩa với thêm kiểm soát cần triển khai và duy trì. Nếu đây là lần đầu làm SOC 2, bắt đầu với Security cùng một hoặc hai criteria bổ sung là cách tiếp cận thực tế.
Câu Hỏi Thường Gặp
Có thể thêm criteria sau khi đã có báo cáo SOC 2 không? Có. Báo cáo SOC 2 tiếp theo có thể mở rộng phạm vi để bao gồm thêm criteria. Tuy nhiên, các kiểm soát mới cần có observation period trước khi được kiểm toán theo SOC 2 Type II.
Security criteria có bao gồm bảo vệ dữ liệu cá nhân không? Một phần. Security tập trung vào kiểm soát truy cập và bảo vệ hệ thống. Nếu bạn cần chứng minh cách xử lý dữ liệu cá nhân một cách toàn diện hơn, Privacy criteria mới là criteria phù hợp để bổ sung.
Báo cáo SOC 2 có ghi rõ criteria nào được áp dụng không? Có. Báo cáo SOC 2 luôn nêu rõ phạm vi criteria được kiểm toán, vì vậy khách hàng của bạn hoàn toàn có thể xác minh.
Nếu bạn đang chuẩn bị hành trình SOC 2, việc xác định đúng criteria từ đầu giúp tiết kiệm đáng kể thời gian và nguồn lực trong quá trình readiness assessment. pTrackly hỗ trợ doanh nghiệp Việt Nam thiết lập evidence collection và theo dõi trạng thái kiểm soát theo từng Trust Service Criteria, giúp quá trình chuẩn bị kiểm toán trở nên có hệ thống hơn.
pTrackly giúp bạn triển khai SOC 2 nhanh hơn với templates và evidence collection tự động.
Đặt Demo Miễn Phí