Cẩm nang · Quản lý số liệu và trình bày dữ liệu

Ba lớp kiểm soát để bảo mật số liệu khi giao studio làm tài liệu

Giao số liệu cho studio không có nghĩa là mất kiểm soát, nhưng cần quy trình đúng từ trước khi chia sẻ file đầu tiên.

Chốt nhanh

Bảo mật số liệu nhạy cảm khi làm tài liệu đòi hỏi ba lớp: ký thỏa thuận bảo mật pháp lý trước khi trao đổi dữ liệu, truyền file qua kênh có kiểm soát thay vì email thông thường, và yêu cầu studio xóa dữ liệu nguồn sau khi nghiệm thu. Thiếu bất kỳ lớp nào đều tạo rủi ro, dù studio có thiện chí. Anh / Chị kiểm soát tốt nhất bằng cách chỉ giao đúng phần số liệu cần thiết cho từng giai đoạn, không giao toàn bộ bộ dữ liệu nội bộ cùng lúc.

Khi Anh / Chị giao số liệu doanh thu, kế hoạch kinh doanh, hay danh sách khách hàng cho studio để làm tài liệu thuyết trình hoặc báo cáo, dữ liệu đó sẽ đi qua tay nhiều người: designer, art director, người duyệt bản in, đôi khi cả đơn vị dịch thuật hoặc in ấn bên ngoài. Không phải studio nào cũng có quy trình kiểm soát rõ ràng. Vì vậy trách nhiệm thiết lập khung bảo mật thuộc về cả hai phía, và Anh / Chị nên chủ động đặt điều kiện trước khi chia sẻ file đầu tiên.

Ba lớp kiểm soát không thể thiếu

Bảo mật số liệu khi làm tài liệu cần đủ ba lớp, thiếu một lớp là thiếu toàn bộ:

  • Lớp pháp lý: NDA (Non-Disclosure Agreement, thỏa thuận bảo mật) được ký trước khi trao đổi bất kỳ dữ liệu nội bộ nào. NDA cần ghi rõ phạm vi dữ liệu được bảo vệ, thời hạn bảo mật, và trách nhiệm khi vi phạm.
  • Lớp kỹ thuật: Kênh truyền file có kiểm soát truy cập, không phải email thông thường. Có thể là cloud storage (lưu trữ đám mây) có đặt mật khẩu và thời hạn truy cập, hoặc kênh truyền file có mã hóa (encrypted file sharing).
  • Lớp vận hành: Chính sách xóa dữ liệu sau khi dự án kết thúc và nghiệm thu, được ghi rõ trong hợp đồng.

Phân loại số liệu để kiểm soát đúng mức

Không phải mọi số liệu đều cần cùng mức độ bảo vệ. Anh / Chị nên phân loại trước khi giao:

  • Độ nhạy cao: Số liệu tài chính chưa công bố, kế hoạch mua bán hoặc sáp nhập doanh nghiệp (M&A), danh sách khách hàng có thông tin cá nhân. Nhóm này cần đủ cả ba lớp kiểm soát và nên áp dụng nguyên tắc need-to-know (chỉ chia sẻ với người cần biết): chỉ giao phần số liệu cần thiết cho từng vai trò, không giao toàn bộ bộ dữ liệu nội bộ.
  • Độ nhạy trung bình: Số liệu đã qua kiểm toán, báo cáo thường niên chuẩn bị công bố. Vẫn cần NDA và kênh truyền file kiểm soát, nhưng mức độ phân quyền có thể linh hoạt hơn.
  • Độ nhạy thấp: Số liệu đã công khai, dữ liệu không định danh. Quy trình tiêu chuẩn của studio là đủ.

Nếu dữ liệu chứa thông tin cá nhân của khách hàng hoặc nhân viên và tài liệu phục vụ thị trường quốc tế, quy định GDPR (General Data Protection Regulation, quy định bảo vệ dữ liệu cá nhân của EU) có thể áp dụng ngay cả khi dự án được thực hiện tại Việt Nam. Một số ngành như tài chính, y tế, và nhà nước cũng có quy định riêng về xử lý dữ liệu. Anh / Chị nên xác nhận điều này với bộ phận pháp lý nội bộ trước khi giao file.

Giao đúng số liệu đúng giai đoạn

Giao số liệu thật từ đầu: Tiện hơn cho studio, không cần chỉnh sửa sau, nhưng dữ liệu nhạy cảm tiếp xúc với nhiều người trong suốt quá trình thiết kế, kể cả giai đoạn nháp chưa cần số thật.

Giao placeholder trước, số thật sau: Phạm vi tiếp xúc dữ liệu hẹp hơn rõ rệt. Studio làm concept và bố cục bằng dữ liệu giả có cùng định dạng, chỉ nhận số thật ở giai đoạn hoàn thiện cuối. Thêm một bước bàn giao nhưng giảm rủi ro đáng kể.

Với số liệu tài chính chưa công bố hoặc kế hoạch nội bộ, Sinh Vũ khuyến nghị hướng thứ hai. Giai đoạn thiết kế nháp không cần số thật, chỉ cần cấu trúc và kiểu dữ liệu để căn chỉnh bố cục.

Lỗi thường gặp dù có thiện chí

  • Gửi file Excel chứa toàn bộ dữ liệu kinh doanh qua email thông thường không mã hóa, vì email là kênh dễ dùng nhất.
  • Không ký NDA vì studio là đối tác quen thuộc, bỏ qua rủi ro khi nhân sự phía studio thay đổi hoặc khi studio dùng subcontractor (đơn vị thuê ngoài) cho một phần việc như dịch thuật hay in ấn.
  • Giao bản số liệu thật ngay từ giai đoạn concept trong khi giai đoạn đó chỉ cần placeholder.
  • Gửi link cloud không đặt mật khẩu hoặc không giới hạn thời hạn truy cập, link tồn tại mãi sau khi dự án kết thúc.
  • Không yêu cầu studio xóa file nguồn sau khi nghiệm thu, dữ liệu còn nằm trên máy chủ studio không xác định thời hạn.

Góc nhìn của Sinh Vũ

Dữ liệu nhạy cảm của khách là tài sản, không phải nguyên liệu thiết kế thông thường. Studio có trách nhiệm xử lý đúng quy trình, và khách có trách nhiệm yêu cầu quy trình đó ngay từ đầu hợp tác.

Sinh Vũ Studio, kinh nghiệm thực hành

Sinh Vũ ký NDA theo yêu cầu của khách và nhận file qua kênh có kiểm soát thay vì email thông thường. Với dữ liệu tài chính chưa công bố, Sinh Vũ khuyến nghị khách chỉ giao phần số liệu cần thiết cho từng giai đoạn. Sau khi bàn giao và nghiệm thu, dữ liệu nguồn có thể được xóa theo thỏa thuận, studio giữ lại file thiết kế đã hoàn thiện. Nếu có phần việc thuê ngoài liên quan đến nội dung nhạy cảm, Sinh Vũ thông báo trước để khách quyết định có đồng ý không trước khi tiến hành.

Nguồn tham khảo

ISO/IEC 27001, Information Security Management Systems. EU GDPR, Regulation (EU) 2016/679. Kinh nghiệm thực hành quy trình nhận và xử lý dữ liệu tại Sinh Vũ Studio.

Câu hỏi thường gặp

Studio nhỏ, quen biết thì có cần ký NDA không?

Cần. Rủi ro không đến từ thiện chí của người đang phụ trách dự án mà đến từ nhân sự thay đổi, thiết bị bị mất, hoặc subcontractor (đơn vị thuê ngoài) mà studio sử dụng mà Anh / Chị không biết. NDA (Non-Disclosure Agreement, thỏa thuận bảo mật) tạo ràng buộc pháp lý với tổ chức, không phải với cá nhân, nên vẫn có giá trị kể cả khi nhân sự thay đổi.

Giai đoạn thiết kế nháp có cần giao số liệu thật không?

Thường là không. Giai đoạn concept và thiết kế nháp chỉ cần cấu trúc bố cục và kiểu dữ liệu, không cần số thật. Anh / Chị có thể giao placeholder (dữ liệu giả có cùng định dạng) cho đến khi thiết kế được duyệt, sau đó mới giao số liệu thật để hoàn thiện. Cách này giảm đáng kể phạm vi tiếp xúc với dữ liệu nhạy cảm.

Sau khi dự án xong, file số liệu của tôi có bị studio giữ lại không?

Tùy quy trình của từng studio. Anh / Chị nên yêu cầu ghi rõ trong hợp đồng hoặc NDA: sau khi nghiệm thu, studio xóa dữ liệu nguồn trong bao nhiêu ngày và xác nhận bằng văn bản. Studio có thể giữ file thiết kế đã hoàn thiện cho mục đích portfolio theo thỏa thuận riêng, nhưng dữ liệu nguồn nên được xóa.

← Về Tài liệu doanh nghiệp
{INJ}