Ba yêu cầu bảo mật này không khó, nhưng áp sai mức hoặc bỏ sót một trong ba đều để lại rủi ro thật.
NDA là yêu cầu tối thiểu Sinh Vũ ký trong mọi hợp đồng O1, không cần Anh Chị phải đề nghị riêng. DPA chỉ cần thiết khi dự án có tiếp cận dữ liệu cá nhân của khách hàng doanh nghiệp, đặc biệt nếu có người dùng ở EU. SSO phù hợp khi Anh Chị đã có hạ tầng quản lý danh tính (Google Workspace, Microsoft 365) và đội dùng đủ lớn, còn với phần lớn doanh nghiệp vừa và nhỏ tại Việt Nam, phân quyền Google Drive cẩn thận đã đủ.
Ba yêu cầu bảo mật này thường xuất hiện cùng nhau nhưng phục vụ ba mục đích khác nhau. Hiểu đúng từng loại giúp Anh Chị quyết định cái gì cần làm ngay, cái gì chỉ cần khi đủ điều kiện, và cái gì không cần thiết với quy mô hiện tại.
NDA (Non-Disclosure Agreement, thỏa thuận bảo mật) bảo vệ thông tin chiến lược: kế hoạch sản phẩm, định vị thương hiệu chưa ra mắt, dữ liệu kinh doanh nội bộ. Đây là yêu cầu pháp lý tối thiểu trong mọi quan hệ hợp tác có tiếp cận tài liệu nhạy cảm.
DPA (Data Processing Agreement, thỏa thuận xử lý dữ liệu) điều chỉnh việc một bên xử lý dữ liệu cá nhân thay mặt bên kia. Theo GDPR Điều 28 của Liên minh Châu Âu, DPA là bắt buộc khi đối tác thiết kế có thể tiếp cận dữ liệu cá nhân của khách hàng doanh nghiệp Anh Chị. Yêu cầu này áp dụng bất kể đối tác đặt ở đâu, miễn là dữ liệu liên quan đến người dùng EU.
SSO (Single Sign-On, đăng nhập một lần) là giải pháp kỹ thuật, không phải thỏa thuận pháp lý. SSO cho phép nhân viên và đối tác truy cập brand portal (cổng tài sản thương hiệu) hoặc DAM (Digital Asset Management, hệ thống quản lý tài sản số) bằng tài khoản công ty sẵn có, không cần tạo thêm mật khẩu riêng.
Nguyên tắc Least Privilege (đặc quyền tối thiểu) trong bảo mật thông tin, được NIST (Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ) ghi nhận, nói rằng mỗi người dùng chỉ được cấp quyền vừa đủ cho công việc của họ, không nhiều hơn.
Áp dụng vào vận hành thương hiệu: Sinh Vũ chỉ cần quyền xem và tải về khi làm việc với tài sản thương hiệu hiện có. Khi cần chỉnh sửa, Sinh Vũ làm việc trong không gian riêng rồi bàn giao lại, không cần quyền xóa hoặc ghi đè trực tiếp trên hệ thống của Anh Chị. Nếu Sinh Vũ cần truy cập vào hệ thống nội bộ như CMS (hệ thống quản lý nội dung), ERP, hay marketing platform, Sinh Vũ luôn yêu cầu tài khoản riêng mang tên Sinh Vũ, không dùng tài khoản chung với nhân viên khác.
Mỗi người dùng hoặc hệ thống chỉ được cấp quyền truy cập vừa đủ cho công việc của họ, không nhiều hơn.
NIST, Principle of Least Privilege
Sinh Vũ ký NDA với mỗi khách O1 như một phần mặc định của hợp đồng retainer, không cần Anh Chị đề nghị riêng. Về DPA và SSO, Sinh Vũ tư vấn theo nhu cầu thực tế của từng doanh nghiệp thay vì áp một giải pháp đồng nhất cho tất cả.
Sinh Vũ không lưu trữ file của Anh Chị trên hệ thống riêng theo mặc định. File được lưu trong hạ tầng của Anh Chị, Sinh Vũ truy cập theo quyền được cấp và thu hồi khi hết dự án. Cách làm này giữ dữ liệu trong tầm kiểm soát của Anh Chị, đồng thời giảm gánh nặng tuân thủ cho cả hai phía.
Nếu Anh Chị có yêu cầu bảo mật đặc thù từ bộ phận pháp lý hoặc IT nội bộ, hãy chia sẻ sớm, tốt nhất trước khi ký hợp đồng. Điều chỉnh quy trình lúc đầu dễ hơn nhiều so với điều chỉnh giữa chừng khi cả hai đã đang làm việc.
NIST Principle of Least Privilege (Viện Tiêu chuẩn và Công nghệ Quốc gia Hoa Kỳ); GDPR Điều 28, Liên minh Châu Âu, hiệu lực từ 2018; kinh nghiệm thực hành vận hành hợp đồng O1 của Sinh Vũ.
Có. Nếu Anh Chị có mẫu NDA riêng, Sinh Vũ sẽ đọc kỹ trước khi ký. Nếu không có mẫu, Sinh Vũ dùng mẫu chuẩn trong hợp đồng O1. Điều quan trọng là NDA phải được ký trước khi Sinh Vũ tiếp cận bất kỳ tài liệu chiến lược nào của Anh Chị, không phải sau.
Thường là không. DPA trở nên cần thiết khi Sinh Vũ tiếp cận file chứa dữ liệu cá nhân của khách hàng doanh nghiệp Anh Chị (họ tên, email, lịch sử mua hàng). Nếu dự án chỉ liên quan đến tài liệu thương hiệu, hướng dẫn nhận diện, hoặc template thiết kế thì NDA là đủ.
Không bắt buộc, nhưng nên cân nhắc nếu có nhiều người trong đội cần truy cập brand portal. SSO giúp Anh Chị quản lý quyền truy cập tập trung và thu hồi quyền ngay lập tức khi nhân sự thay đổi. Nếu đội nhỏ hoặc số lần truy cập ít, phân quyền chia sẻ file thông thường vẫn hiệu quả hơn về chi phí triển khai.