Luật An ninh mạng Việt Nam có hiệu lực từ năm 2019. Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân bắt đầu áp dụng từ tháng 7/2023. Nhưng nhiều doanh nghiệp vừa và nhỏ vẫn đang điều hành toàn bộ hoạt động qua Zalo, Google Drive và các ứng dụng nước ngoài – mà không biết rằng điều này có thể trở thành rủi ro pháp lý nghiêm trọng.
Điều luật thực sự yêu cầu gì
Luật An ninh mạng 2018 (Luật số 24/2018/QH14) yêu cầu các doanh nghiệp cung cấp dịch vụ trên mạng viễn thông, mạng internet tại Việt Nam phải lưu trữ dữ liệu quan trọng tại Việt Nam và đặt văn phòng đại diện tại đây khi có yêu cầu từ cơ quan nhà nước.
Nghị định 13/2023/NĐ-CP bổ sung thêm: dữ liệu cá nhân nhạy cảm phải được xử lý, lưu trữ có kiểm soát – với sự đồng ý rõ ràng của người dùng và các biện pháp bảo vệ kỹ thuật cụ thể.
„Khi bạn lưu dữ liệu khách hàng trên một nền tảng nước ngoài, bạn đang chơi theo luật của họ – không phải luật Việt Nam."
Vấn đề thực sự của các startup Việt đang lớn
Nhiều công ty Việt Nam bắt đầu với những công cụ quen thuộc: Zalo để liên lạc nội bộ, Google Sheets để theo dõi đơn hàng, Facebook để chăm sóc khách hàng. Ban đầu, cách này hoạt động tốt. Nhưng khi công ty vượt qua 10–20 nhân sự, một vấn đề cấu trúc xuất hiện:
Dữ liệu không có ở một chỗ. Ai có hợp đồng nào? Khách hàng đang ở giai đoạn nào? Kho hàng còn bao nhiêu? Câu trả lời nằm rải rác trong hàng trăm tin nhắn Zalo, file Excel khác nhau, ghi chú trên điện thoại cá nhân của từng nhân viên.
Đây không chỉ là vấn đề hiệu quả. Đây là rủi ro bảo mật và pháp lý: khi dữ liệu khách hàng nằm trên thiết bị cá nhân và ứng dụng của bên thứ ba, bạn không thể kiểm soát ai truy cập, dữ liệu đi đâu, hay điều gì xảy ra khi nhân viên nghỉ việc.
Vấn đề chuỗi cung ứng cụ thể: Nếu nhà cung cấp phần mềm của bạn bị tấn công và bạn không biết trong vòng 24 giờ – vì bạn không có quyền truy cập log, không giám sát server trực tiếp – thì bạn đang vi phạm quy định bảo vệ dữ liệu. Không phải nhà cung cấp. Bạn.
Giải pháp thực sự duy nhất
Có một hướng tiếp cận giải quyết vấn đề tuân thủ một cách có cấu trúc: hạ tầng riêng, kiểm soát hoàn toàn. Phần mềm mã nguồn mở, tự host, trên máy chủ mà bạn – hoặc đối tác của bạn – có thể kiểm tra và kiểm soát đầy đủ.
Điều này có nghĩa là: giám sát thời gian thực với cảnh báo. Lịch sử log đầy đủ. Quy trình phản ứng sự cố do bạn thiết kế. Không có nhà cung cấp nào quyết định khi nào bản cập nhật bảo mật tiếp theo đến.
Tycho Platform: Nền tảng cho công ty Việt đang lớn lên
ERPNext + tự host + giám sát đầy đủ. Minh bạch, kiểm soát được, thuộc về bạn.
Tuân thủ pháp lý bắt đầu từ hạ tầng, không phải từ hợp đồng.
Nếu bạn muốn biết hạ tầng có thể kiểm soát, tuân thủ được trông như thế nào với quy mô công ty của bạn, hãy nói chuyện với chúng tôi.