Chuyên môn · Phối hợp và vận hành hằng ngày

SSO, NDA và DPA: ba lớp bảo mật không thay thế nhau

Nhiều doanh nghiệp dừng lại ở NDA rồi cho là đủ, trong khi bên đối tác đang âm thầm xử lý dữ liệu cá nhân mà không có ràng buộc pháp lý nào kiểm soát.

Chốt nhanh

Ba lớp này phục vụ ba việc khác nhau: SSO (đăng nhập một lần) kiểm soát ai được vào hệ thống, NDA (thỏa thuận bảo mật) ràng buộc giữ kín thông tin chiến lược, còn DPA (thỏa thuận xử lý dữ liệu) quy định bên đối tác được làm gì với dữ liệu cá nhân và bảo vệ ra sao. Cả ba nên được chốt ngay từ khâu ký hợp đồng, không để vá sau. Riêng DPA, khi đối tác chạm vào dữ liệu cá nhân của khách hoặc người dùng cuối thì cần pháp chế soát, vì ràng buộc pháp lý vượt ngoài phạm vi thiết kế hay vận hành thương hiệu.

Đối sánh nhanh
Nên chọn hướng này khi
  • đối tác chạm vào dữ liệu (data) cá nhân người dùng
  • doanh nghiệp có hệ đăng nhập tập trung (SSO)
  • chia sẻ tài liệu chiến lược và tài sản chưa công bố
Chưa cần khi
  • sao chép mẫu DPA trên mạng không cho pháp chế soát

Khi một đối tác bên ngoài, dù là studio thiết kế, agency nội dung hay nhà thầu kỹ thuật, bắt đầu tiếp cận hệ thống và tài liệu của doanh nghiệp, Anh/Chị cần ba lớp kiểm soát riêng biệt. Mỗi lớp bảo vệ một thứ khác nhau. Dùng lẫn lộn hoặc bỏ sót một lớp là để lại lỗ hổng mà chỉ phát hiện được khi sự việc đã xảy ra.

Ba lớp không thay thế nhau

Sinh Vũ phân biệt ba lớp như sau:

  • SSO (đăng nhập một lần, Single Sign-On): kiểm soát ai được vào hệ thống, vào được tới đâu và thu hồi quyền ra sao khi người đó rời khỏi dự án. SSO kết nối với hệ đăng nhập tập trung của doanh nghiệp, phân quyền theo vai trò và ghi lại ai đã truy cập gì.
  • NDA (thỏa thuận bảo mật, Non-Disclosure Agreement): ràng buộc pháp lý về việc giữ kín thông tin chiến lược, tài sản chưa công bố và nội dung nhạy cảm. NDA phủ cả nhân sự trực tiếp và thầu phụ có tiếp cận thông tin.
  • DPA (thỏa thuận xử lý dữ liệu, Data Processing Agreement): quy định bên đối tác được làm gì với dữ liệu cá nhân, dữ liệu được lưu ở đâu, bảo vệ ra sao và phải xóa hoặc trả lại khi nào. DPA phân định rõ ai là bên kiểm soát dữ liệu và ai là bên xử lý.
NDA đủ chưa, hay cần thêm DPA?
NDA bảo vệ thông tin mật theo nghĩa rộng: chiến lược, kế hoạch, tài sản chưa ra mắt. DPA đi vào một phạm vi hẹp hơn nhưng ràng buộc chặt hơn: dữ liệu cá nhân của người thật, khách hàng, người dùng cuối, nhân viên. Nếu đối tác chỉ xem bản thiết kế và tài liệu định vị thương hiệu thì NDA thường đủ. Nếu đối tác truy cập CRM (hệ thống quản lý khách hàng), danh sách email, hoặc bất kỳ dữ liệu nào gắn với người thật thì DPA là bắt buộc, NDA không thay thế được.

Khi nào từng lớp trở nên bắt buộc

  • SSO: ưu tiên khi doanh nghiệp đã có hệ đăng nhập tập trung và nhiều người hoặc nhiều đối tác cùng truy cập tài nguyên. Không nhất thiết ngay từ đầu nếu quy mô nhỏ, nhưng phải có cơ chế thu hồi quyền thủ công thay thế.
  • NDA: gần như luôn cần khi chia sẻ tài liệu chiến lược, brief thương hiệu, kế hoạch sản phẩm chưa công bố. Nên ký trước khi trao bất kỳ thông tin nhạy cảm nào, không phải sau.
  • DPA: bắt buộc ngay khi đối tác bên ngoài chạm vào dữ liệu cá nhân. Theo GDPR Điều 28, bên xử lý chỉ được làm theo chỉ dẫn bằng văn bản, phải cam kết bảo mật và không được thuê lại thầu phụ khi chưa có sự đồng ý của bên kiểm soát.

Bên xử lý dữ liệu chỉ được xử lý dữ liệu cá nhân theo chỉ dẫn có ghi chép của bên kiểm soát, trừ trường hợp pháp luật yêu cầu khác.

GDPR Điều 28

Lỗi thường gặp cần tránh

  • Dừng ở NDA, bỏ qua DPA: đây là lỗi phổ biến nhất. NDA không quy định ai được làm gì với dữ liệu cá nhân, không đề cập việc xóa hay trả dữ liệu khi xong việc.
  • Không thu hồi quyền khi nhân sự nghỉ: quyền truy cập còn hoạt động sau khi người đó rời đi là rủi ro thực tế, không phải lý thuyết. SSO giúp thu hồi tập trung; nếu chưa có SSO thì cần quy trình thủ công rõ ràng.
  • Dùng mẫu DPA tải về mà không qua pháp chế: mẫu trên mạng có thể sai luật áp dụng tại Việt Nam hoặc thiếu điều khoản phù hợp với thực tế hợp đồng. Một DPA sai còn nguy hiểm hơn không có vì tạo cảm giác an toàn giả.
  • Không quy định rõ việc xóa và trả dữ liệu: khi hợp đồng kết thúc, dữ liệu cá nhân phải được xóa hoặc trả lại. Nếu không ghi vào DPA, không có cơ sở để yêu cầu.

Góc nhìn của Sinh Vũ

Sinh Vũ xử lý các yêu cầu bảo mật này ở giai đoạn thiết lập, thường gắn với cổng thương hiệu (brand portal) có phân quyền theo vai. Đây là phần Sinh Vũ không tự quyết thay khách mà luôn đề nghị pháp chế của doanh nghiệp cùng soát trước khi ký.

Lý do đơn giản: ràng buộc về dữ liệu cá nhân có hậu quả pháp lý vượt ngoài phạm vi thiết kế hay vận hành thương hiệu. Làm chặt từ đầu thì phí tổn thấp. Vá sau khi đã có sự cố thì tốn kém và mất uy tín hơn nhiều.

Nguyên tắc Sinh Vũ dùng khi thiết lập phân quyền là quyền tối thiểu: mỗi người chỉ thấy và chạm đúng những gì cần thiết cho vai trò của họ, không hơn. SSO là công cụ thực thi nguyên tắc này ở cấp hệ thống. NDA và DPA là thực thi ở cấp pháp lý. Cả hai cần chạy song song, không cái nào thay được cái kia.

Công cụ mang về

Checklist quyết định

Chủ đề: Yêu cầu bảo mật SSO, NDA và DPA xử lý thế nào. Cẩm nang Sinh Vũ, sinhvu.com

0 trên 7 mục

Bấm chọn từng mục Anh / Chị thấy đúng, rồi bấm in hoặc lưu thành PDF để mang theo.

Dấu hiệu cho thấy Anh / Chị nên làm
Câu hỏi cần trả lời trước khi quyết định

Nếu Anh / Chị đánh dấu phần lớn ở nhóm dấu hiệu trên, đây là lúc nên trao đổi kỹ hơn. Sinh Vũ có thể cùng Anh / Chị soi lại và đề xuất hướng đi.

Nguồn tham khảo

GDPR Điều 28 (Data Processing Agreement); Termly, What Is a Data Processing Agreement; Hyperstart, DPA Complete Guide; Secure Privacy, DPAs for SaaS; Bynder, What is Digital Asset Management. Kinh nghiệm thực hành Sinh Vũ trong thiết lập cổng thương hiệu có phân quyền.

Câu hỏi thường gặp

Đã ký NDA rồi có cần DPA không?

Có, nếu đối tác của Anh/Chị xử lý dữ liệu cá nhân, ví dụ danh sách khách hàng, thông tin người dùng, dữ liệu hành vi. NDA bảo vệ thông tin mật theo nghĩa rộng nhưng không quy định cụ thể ai được làm gì với dữ liệu cá nhân, dữ liệu được lưu ở đâu, và xóa ra sao khi kết thúc. DPA lấp đúng chỗ trống đó. Hai văn bản bổ sung cho nhau, không thay thế nhau.

Công ty chưa có hệ thống SSO thì xử lý phân quyền thế nào?

Nếu chưa có SSO, Anh/Chị cần quản lý tài khoản riêng cho từng công cụ và theo dõi thủ công khi nhân sự thay đổi. Rủi ro nằm ở chỗ hay quên thu hồi quyền khi người nghỉ việc, đây là lỗ hổng thường gặp nhất. Giải pháp tạm thời là lập danh sách quyền truy cập theo tên người, xem lại định kỳ và thu hồi ngay khi có thay đổi nhân sự. Khi quy mô lớn hơn, đầu tư SSO sẽ tiết kiệm công quản trị đáng kể.

DPA lấy mẫu trên mạng dùng được không?

Mẫu trên mạng có thể dùng làm tham chiếu để hiểu cấu trúc, nhưng không nên dùng trực tiếp mà không qua pháp chế soát. Luật áp dụng khác nhau tùy quốc gia và loại dữ liệu, điều khoản về thuê lại thầu phụ và xóa dữ liệu cần khớp với thực tế hợp đồng của Anh/Chị. Sinh Vũ khuyên để pháp chế điều chỉnh mẫu theo đúng luật áp dụng thay vì tự ký một bản chưa được kiểm tra.

← Về Vận hành thương hiệu
{INJ}