Giao số liệu cho studio không có nghĩa là mất kiểm soát, nhưng cần quy trình đúng từ trước khi chia sẻ file đầu tiên.
Bảo mật số liệu nhạy cảm khi làm tài liệu đòi hỏi ba lớp: ký thỏa thuận bảo mật pháp lý trước khi trao đổi dữ liệu, truyền file qua kênh có kiểm soát thay vì email thông thường, và yêu cầu studio xóa dữ liệu nguồn sau khi nghiệm thu. Thiếu bất kỳ lớp nào đều tạo rủi ro, dù studio có thiện chí. Anh / Chị kiểm soát tốt nhất bằng cách chỉ giao đúng phần số liệu cần thiết cho từng giai đoạn, không giao toàn bộ bộ dữ liệu nội bộ cùng lúc.
Khi Anh / Chị giao số liệu doanh thu, kế hoạch kinh doanh, hay danh sách khách hàng cho studio để làm tài liệu thuyết trình hoặc báo cáo, dữ liệu đó sẽ đi qua tay nhiều người: designer, art director, người duyệt bản in, đôi khi cả đơn vị dịch thuật hoặc in ấn bên ngoài. Không phải studio nào cũng có quy trình kiểm soát rõ ràng. Vì vậy trách nhiệm thiết lập khung bảo mật thuộc về cả hai phía, và Anh / Chị nên chủ động đặt điều kiện trước khi chia sẻ file đầu tiên.
Bảo mật số liệu khi làm tài liệu cần đủ ba lớp, thiếu một lớp là thiếu toàn bộ:
Không phải mọi số liệu đều cần cùng mức độ bảo vệ. Anh / Chị nên phân loại trước khi giao:
Nếu dữ liệu chứa thông tin cá nhân của khách hàng hoặc nhân viên và tài liệu phục vụ thị trường quốc tế, quy định GDPR (General Data Protection Regulation, quy định bảo vệ dữ liệu cá nhân của EU) có thể áp dụng ngay cả khi dự án được thực hiện tại Việt Nam. Một số ngành như tài chính, y tế, và nhà nước cũng có quy định riêng về xử lý dữ liệu. Anh / Chị nên xác nhận điều này với bộ phận pháp lý nội bộ trước khi giao file.
Với số liệu tài chính chưa công bố hoặc kế hoạch nội bộ, Sinh Vũ khuyến nghị hướng thứ hai. Giai đoạn thiết kế nháp không cần số thật, chỉ cần cấu trúc và kiểu dữ liệu để căn chỉnh bố cục.
Dữ liệu nhạy cảm của khách là tài sản, không phải nguyên liệu thiết kế thông thường. Studio có trách nhiệm xử lý đúng quy trình, và khách có trách nhiệm yêu cầu quy trình đó ngay từ đầu hợp tác.
Sinh Vũ Studio, kinh nghiệm thực hành
Sinh Vũ ký NDA theo yêu cầu của khách và nhận file qua kênh có kiểm soát thay vì email thông thường. Với dữ liệu tài chính chưa công bố, Sinh Vũ khuyến nghị khách chỉ giao phần số liệu cần thiết cho từng giai đoạn. Sau khi bàn giao và nghiệm thu, dữ liệu nguồn có thể được xóa theo thỏa thuận, studio giữ lại file thiết kế đã hoàn thiện. Nếu có phần việc thuê ngoài liên quan đến nội dung nhạy cảm, Sinh Vũ thông báo trước để khách quyết định có đồng ý không trước khi tiến hành.
ISO/IEC 27001, Information Security Management Systems. EU GDPR, Regulation (EU) 2016/679. Kinh nghiệm thực hành quy trình nhận và xử lý dữ liệu tại Sinh Vũ Studio.
Cần. Rủi ro không đến từ thiện chí của người đang phụ trách dự án mà đến từ nhân sự thay đổi, thiết bị bị mất, hoặc subcontractor (đơn vị thuê ngoài) mà studio sử dụng mà Anh / Chị không biết. NDA (Non-Disclosure Agreement, thỏa thuận bảo mật) tạo ràng buộc pháp lý với tổ chức, không phải với cá nhân, nên vẫn có giá trị kể cả khi nhân sự thay đổi.
Thường là không. Giai đoạn concept và thiết kế nháp chỉ cần cấu trúc bố cục và kiểu dữ liệu, không cần số thật. Anh / Chị có thể giao placeholder (dữ liệu giả có cùng định dạng) cho đến khi thiết kế được duyệt, sau đó mới giao số liệu thật để hoàn thiện. Cách này giảm đáng kể phạm vi tiếp xúc với dữ liệu nhạy cảm.
Tùy quy trình của từng studio. Anh / Chị nên yêu cầu ghi rõ trong hợp đồng hoặc NDA: sau khi nghiệm thu, studio xóa dữ liệu nguồn trong bao nhiêu ngày và xác nhận bằng văn bản. Studio có thể giữ file thiết kế đã hoàn thiện cho mục đích portfolio theo thỏa thuận riêng, nhưng dữ liệu nguồn nên được xóa.