Cẩm nang · Phối hợp và vận hành hằng ngày

Bảo mật SSO, NDA và DPA: xử lý đúng mức

Ba yêu cầu bảo mật này không khó, nhưng áp sai mức hoặc bỏ sót một trong ba đều để lại rủi ro thật.

Chốt nhanh

NDA là yêu cầu tối thiểu Sinh Vũ ký trong mọi hợp đồng O1, không cần Anh Chị phải đề nghị riêng. DPA chỉ cần thiết khi dự án có tiếp cận dữ liệu cá nhân của khách hàng doanh nghiệp, đặc biệt nếu có người dùng ở EU. SSO phù hợp khi Anh Chị đã có hạ tầng quản lý danh tính (Google Workspace, Microsoft 365) và đội dùng đủ lớn, còn với phần lớn doanh nghiệp vừa và nhỏ tại Việt Nam, phân quyền Google Drive cẩn thận đã đủ.

Ba yêu cầu bảo mật này thường xuất hiện cùng nhau nhưng phục vụ ba mục đích khác nhau. Hiểu đúng từng loại giúp Anh Chị quyết định cái gì cần làm ngay, cái gì chỉ cần khi đủ điều kiện, và cái gì không cần thiết với quy mô hiện tại.

Ba yêu cầu, ba vai trò khác nhau

NDA (Non-Disclosure Agreement, thỏa thuận bảo mật) bảo vệ thông tin chiến lược: kế hoạch sản phẩm, định vị thương hiệu chưa ra mắt, dữ liệu kinh doanh nội bộ. Đây là yêu cầu pháp lý tối thiểu trong mọi quan hệ hợp tác có tiếp cận tài liệu nhạy cảm.

DPA (Data Processing Agreement, thỏa thuận xử lý dữ liệu) điều chỉnh việc một bên xử lý dữ liệu cá nhân thay mặt bên kia. Theo GDPR Điều 28 của Liên minh Châu Âu, DPA là bắt buộc khi đối tác thiết kế có thể tiếp cận dữ liệu cá nhân của khách hàng doanh nghiệp Anh Chị. Yêu cầu này áp dụng bất kể đối tác đặt ở đâu, miễn là dữ liệu liên quan đến người dùng EU.

SSO (Single Sign-On, đăng nhập một lần) là giải pháp kỹ thuật, không phải thỏa thuận pháp lý. SSO cho phép nhân viên và đối tác truy cập brand portal (cổng tài sản thương hiệu) hoặc DAM (Digital Asset Management, hệ thống quản lý tài sản số) bằng tài khoản công ty sẵn có, không cần tạo thêm mật khẩu riêng.

Khi nào cần cái gì, khi nào chưa cần

Doanh nghiệp vừa và nhỏ Việt Nam, không có yêu cầu đặc biệt: NDA cơ bản trong hợp đồng cộng với phân quyền Google Drive theo từng vai trò là đủ. Không cần DPA nếu Sinh Vũ không tiếp cận dữ liệu cá nhân khách hàng của Anh Chị. Không cần SSO nếu đội dùng nhỏ hoặc chưa có hạ tầng danh tính tập trung.

Tập đoàn, công ty nước ngoài, hoặc doanh nghiệp ngành ngân hàng, y tế, công nghệ B2B: Cần NDA theo mẫu của khách, DPA nếu có dữ liệu cá nhân, và SSO nếu policy nội bộ không cho phép tài khoản ngoài hệ thống. Những trường hợp này Sinh Vũ phối hợp theo yêu cầu của bộ phận pháp lý và IT của Anh Chị.

Nguyên tắc đặc quyền tối thiểu áp dụng thực tế

Nguyên tắc Least Privilege (đặc quyền tối thiểu) trong bảo mật thông tin, được NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ) ghi nhận, nói rằng mỗi người dùng chỉ được cấp quyền vừa đủ cho công việc của họ, không nhiều hơn.

Áp dụng vào vận hành thương hiệu: Sinh Vũ chỉ cần quyền xem và tải về khi làm việc với tài sản thương hiệu hiện có. Khi cần chỉnh sửa, Sinh Vũ làm việc trong không gian riêng rồi bàn giao lại, không cần quyền xóa hoặc ghi đè trực tiếp trên hệ thống của Anh Chị. Nếu Sinh Vũ cần truy cập vào hệ thống nội bộ như CMS (hệ thống quản lý nội dung), ERP, hay marketing platform, Sinh Vũ luôn yêu cầu tài khoản riêng mang tên Sinh Vũ, không dùng tài khoản chung với nhân viên khác.

Mỗi người dùng hoặc hệ thống chỉ được cấp quyền truy cập vừa đủ cho công việc của họ, không nhiều hơn.

NIST, Principle of Least Privilege

Lỗi thường gặp trong vận hành thực tế

  • Bắt đầu làm việc trước khi ký NDA vì "quen biết rồi" hoặc "chỉ xem qua thôi". Khi xảy ra tranh chấp về quyền sở hữu hoặc rò rỉ thông tin, không có văn bản nào để dựa vào.
  • Cấp quyền quản trị (admin) cho đối tác thiết kế vì tiện lợi ban đầu, nhưng không thu hồi sau khi hết hợp đồng. Quyền truy cập tồn tại lâu hơn quan hệ hợp tác là rủi ro thật.
  • Dùng một tài khoản chung cho cả đội đối tác. Khi có vấn đề, không xác định được ai đã thay đổi gì và vào lúc nào.
  • Không có quy trình offboarding (kết thúc hợp tác): khi đối tác hết hợp đồng, quyền truy cập không được thu hồi kịp thời, file nội bộ vẫn chia sẻ với người đã rời dự án.

Góc nhìn của Sinh Vũ

Sinh Vũ ký NDA với mỗi khách O1 như một phần mặc định của hợp đồng retainer, không cần Anh Chị đề nghị riêng. Về DPA và SSO, Sinh Vũ tư vấn theo nhu cầu thực tế của từng doanh nghiệp thay vì áp một giải pháp đồng nhất cho tất cả.

Sinh Vũ không lưu trữ file của Anh Chị trên hệ thống riêng theo mặc định. File được lưu trong hạ tầng của Anh Chị, Sinh Vũ truy cập theo quyền được cấp và thu hồi khi hết dự án. Cách làm này giữ dữ liệu trong tầm kiểm soát của Anh Chị, đồng thời giảm gánh nặng tuân thủ cho cả hai phía.

Nếu Anh Chị có yêu cầu bảo mật đặc thù từ bộ phận pháp lý hoặc IT nội bộ, hãy chia sẻ sớm, tốt nhất trước khi ký hợp đồng. Điều chỉnh quy trình lúc đầu dễ hơn nhiều so với điều chỉnh giữa chừng khi cả hai đã đang làm việc.

Nguồn tham khảo

NIST Principle of Least Privilege (Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ); GDPR Điều 28, Liên minh Châu Âu, hiệu lực từ 2018; kinh nghiệm thực hành vận hành hợp đồng O1 của Sinh Vũ.

Câu hỏi thường gặp

Sinh Vũ có ký NDA theo mẫu của công ty tôi không?

Có. Nếu Anh Chị có mẫu NDA riêng, Sinh Vũ sẽ đọc kỹ trước khi ký. Nếu không có mẫu, Sinh Vũ dùng mẫu chuẩn trong hợp đồng O1. Điều quan trọng là NDA phải được ký trước khi Sinh Vũ tiếp cận bất kỳ tài liệu chiến lược nào của Anh Chị, không phải sau.

Tôi có cần DPA nếu chỉ làm thương hiệu nội bộ, không có khách hàng EU?

Thường là không. DPA trở nên cần thiết khi Sinh Vũ tiếp cận file chứa dữ liệu cá nhân của khách hàng doanh nghiệp Anh Chị (họ tên, email, lịch sử mua hàng). Nếu dự án chỉ liên quan đến tài liệu thương hiệu, hướng dẫn nhận diện, hoặc template thiết kế thì NDA là đủ.

SSO có bắt buộc không nếu công ty tôi dùng Microsoft 365?

Không bắt buộc, nhưng nên cân nhắc nếu có nhiều người trong đội cần truy cập brand portal. SSO giúp Anh Chị quản lý quyền truy cập tập trung và thu hồi quyền ngay lập tức khi nhân sự thay đổi. Nếu đội nhỏ hoặc số lần truy cập ít, phân quyền chia sẻ file thông thường vẫn hiệu quả hơn về chi phí triển khai.

← Về Vận hành thương hiệu
{INJ}