Giải thích tuân thủ IT: HIPAA, PCI, SOC 2

Tuân thủ có nghĩa là đáp ứng một bộ quy tắc, kỳ vọng về bảo mật hoặc yêu cầu về tài liệu. Với nhiều doanh nghiệp nhỏ, việc này bắt đầu khi bạn xử lý một số loại dữ liệu nhất định, chấp nhận thanh toán bằng thẻ, làm trong lĩnh vực y tế hoặc bán cho các công ty lớn hơn—những công ty này thường đặt câu hỏi về bảo mật trước khi ký hợp đồng.

HIPAA, PCI và SOC 2 không phải là một thứ giống nhau. HIPAA là luật của Mỹ về thông tin sức khỏe được bảo vệ (protected health information). PCI là tiêu chuẩn ngành thẻ thanh toán dành cho doanh nghiệp xử lý, lưu trữ hoặc truyền dữ liệu của chủ thẻ. SOC 2 là một khung báo cáo mà nhiều công ty dùng để cho khách hàng thấy họ đã có các biện pháp kiểm soát bảo mật.

Điểm quan trọng là thế này. Tuân thủ không chỉ là mua một công cụ. Thông thường nó bao gồm: chính sách, bảo mật thiết bị, kiểm soát truy cập, sao lưu, đào tạo nhân sự, lưu trữ hồ sơ và rà soát liên tục. Đồng thời, điều đó cũng không có nghĩa là an toàn tuyệt đối. Không có nhà cung cấp nào thành thật hứa hẹn “không bao giờ gián đoạn” hay một mạng “không thể bị tấn công”.

HIPAA là viết tắt của Health Insurance Portability and Accountability Act. Nếu doanh nghiệp của bạn xử lý protected health information (thông tin sức khỏe được bảo vệ), HIPAA có thể áp dụng. Điều này có thể bao gồm một số phòng khám, công ty dịch vụ thanh toán y tế, đơn vị cung cấp dịch vụ y tế và các nhà cung cấp/vendỏ làm việc với tổ chức y tế. HIPAA tập trung vào quyền riêng tư, bảo mật và cách thông tin sức khỏe được sử dụng, lưu trữ và chia sẻ. Yêu cầu có thể khác nhau tùy vai trò của bạn và loại dữ liệu bạn chạm tới.

PCI thường đề cập đến PCI DSS, viết tắt của Payment Card Industry Data Security Standard. Nếu bạn chấp nhận thẻ tín dụng hoặc thẻ ghi nợ, PCI có thể liên quan đến bạn ngay cả khi bạn rất nhỏ. Yêu cầu cụ thể phụ thuộc vào cách bạn nhận thanh toán. Doanh nghiệp dùng thiết bị thanh toán an toàn hoặc trang thanh toán được lưu trữ (hosted checkout page) có thể có lộ trình đơn giản hơn so với doanh nghiệp lưu trữ dữ liệu thẻ hoặc vận hành hệ thống thanh toán tùy chỉnh.

SOC 2 không phải là một luật. Đây là một cuộc đánh giá độc lập về cách công ty xử lý một số kiểm soát nhất định, thường xoay quanh bảo mật và tính sẵn sàng (availability). Tính sẵn sàng nghĩa là hệ thống được thiết kế để có thể sử dụng như đã cam kết, chứ không phải ai đó có thể đảm bảo rằng sẽ không bao giờ có sự cố gián đoạn. SOC 2 thường được nhắc đến khi các khách hàng lớn yêu cầu nhà cung cấp chứng minh rằng họ nghiêm túc về bảo mật. Với nhiều doanh nghiệp nhỏ, câu hỏi không phải là “Chúng tôi có cần báo cáo SOC 2 vào ngày mai không?” mà là “Khách hàng kỳ vọng chúng tôi có những kiểm soát nào trước khi có thể thắng hợp đồng này?”

Nếu các thuật ngữ này nghe có vẻ gần giống nhau nhưng gây rối, điều đó là bình thường. Một nhà cung cấp dịch vụ quản lý CNTT độc lập tốt—cũng gọi là MSP—có thể giúp bạn hiểu cái gì có thể áp dụng và mức độ công việc phù hợp với quy mô và mức rủi ro của bạn.

Bắt đầu từ dữ liệu. Hãy hỏi bạn thu thập thông tin nhạy cảm gì, dữ liệu đó nằm ở đâu, ai có thể truy cập và dữ liệu di chuyển qua doanh nghiệp của bạn như thế nào. Điều này bao gồm laptop, điện thoại, email, ứng dụng đám mây, lưu trữ tệp, hệ thống thanh toán và các nhà cung cấp/vendỏ. Trong mảng CNTT, “endpoint” là bất kỳ thiết bị cá nhân nào như laptop, máy tính để bàn, điện thoại hoặc máy tính bảng kết nối vào hệ thống của bạn.

Sau đó nhìn vào các kiểm soát cơ bản. Nhiều nỗ lực tuân thủ bắt đầu từ những bước thực tế tương tự. Xác thực đa yếu tố (Multi-Factor Authentication, MFA) bổ sung một bước thứ hai bên cạnh mật khẩu khi ai đó đăng nhập. Cập vá (patching) nghĩa là giữ phần mềm và thiết bị luôn được cập nhật các bản vá sửa lỗi. Sao lưu nghĩa là giữ các bản sao có thể khôi phục của dữ liệu quan trọng. Cách tiếp cận sao lưu 3-2-1 nghĩa là có 3 bản sao dữ liệu, trên 2 loại hình thức lưu trữ khác nhau, và có 1 bản sao được giữ ở ngoài địa điểm (offsite).

Bạn cũng có thể cần chính sách viết sẵn, rà soát nhà cung cấp, đào tạo nhân sự, quy tắc truy cập và bằng chứng rằng các việc đó đang thực sự được thực hiện. Một số doanh nghiệp cần đánh giá rủi ro chính thức. Một số cần ghi log, giám sát thiết bị và các bước phản hồi được tài liệu hóa nếu có sự cố xảy ra. Phát hiện và phản hồi trên endpoint (Endpoint Detection and Response, EDR) là phần mềm giúp phát hiện hoạt động đáng ngờ trên thiết bị. Quản lý và giám sát từ xa (Remote Monitoring and Management, RMM) là phần mềm nhiều nhà cung cấp dùng để theo dõi tình trạng thiết bị, áp dụng cập nhật và xử lý bảo trì định kỳ.

Với chủ doanh nghiệp nhỏ, vấn đề thực sự thường là phạm vi (scope). Bạn có thể không cần một chương trình “chuẩn doanh nghiệp” (enterprise-grade). Nhưng bạn cần biết ngành của bạn, khách hàng của bạn, công ty bảo hiểm của bạn và các quy định của tiểu bang hoặc liên bang (nếu áp dụng) kỳ vọng điều gì.

Chi phí thay đổi rất nhiều. Con số thực tế phụ thuộc vào số lượng nhân sự, số lượng thiết bị, mức độ phức tạp của hệ thống, loại dữ liệu bạn xử lý, ngành của bạn và khu vực của bạn. Các khoảng này không phải là báo giá.

Nếu bạn đang bắt đầu từ một thiết lập cơ bản và cần quản lý thiết bị tốt hơn, cài đặt bảo mật, sao lưu và hỗ trợ người dùng, nhiều doanh nghiệp nhỏ chi khoảng 100 đến 250 USD mỗi người dùng mỗi tháng cho dịch vụ quản lý CNTT và hỗ trợ bảo mật liên tục. Nếu công việc tuân thủ nặng hơn, con số có thể cao hơn.

Việc đánh giá khoảng trống (gap assessment) hoặc rà soát sẵn sàng (readiness review) một lần có thể tốn vài nghìn USD đối với doanh nghiệp nhỏ, và có thể cao hơn nếu môi trường của bạn lớn hơn hoặc chịu nhiều yêu cầu quản lý. Kiểm toán chính thức, tư vấn pháp lý bên ngoài, công việc xây dựng chính sách và các dự án đặc biệt có thể phát sinh thêm chi phí riêng. Yêu cầu về bảo hiểm mạng (cyber insurance) cũng có thể làm tăng những việc bạn cần thực hiện.

Tin tốt là không phải doanh nghiệp nào cũng cần cùng mức độ công việc. Một công ty dùng công cụ đám mây tiêu chuẩn, các nhà cung cấp thanh toán an toàn và số lượng thiết bị ít có thể đi theo lộ trình đơn giản hơn so với công ty có hệ thống tùy chỉnh, nhiều văn phòng, hoặc hồ sơ nhạy cảm trải trên những máy tính cũ và thư mục dùng chung.

Đừng bắt đầu bằng việc mua ngẫu nhiên các công cụ bảo mật chỉ vì khách hàng hỏi một câu khó. Hãy bắt đầu bằng việc xác định yêu cầu. Hỏi xem ai là người đặt câu hỏi, họ đang dùng tiêu chuẩn hoặc bảng câu hỏi nào, thời hạn của bạn là khi nào, và họ có cần một yêu cầu pháp lý, một tiêu chuẩn ngành hay chỉ cần một nền tảng bảo mật hợp lý.

Lập một danh sách ngắn các thông tin về doanh nghiệp của bạn. Bạn có bao nhiêu nhân viên. Có bao nhiêu địa điểm. Mọi người dùng những thiết bị nào. Bạn có xử lý thông tin sức khỏe hoặc thanh toán thẻ không. Doanh nghiệp chạy những ứng dụng đám mây nào. Khách hàng có từng yêu cầu bảng câu hỏi bảo mật, đánh giá rủi ro hoặc báo cáo SOC 2 không. Điều này giúp bạn có một cuộc trao đổi đầu tiên hữu ích.

Nếu bạn muốn được hỗ trợ sắp xếp vấn đề này, NodeBridge IT có thể giúp bạn tìm một nhà cung cấp dịch vụ quản lý CNTT độc lập phù hợp cho doanh nghiệp nhỏ và vừa. Chúng tôi là dịch vụ ghép nối miễn phí. Chúng tôi không quản lý hệ thống của bạn hoặc quyền truy cập vào tài khoản của bạn. Chúng tôi chỉ dùng thông tin doanh nghiệp và liên hệ của bạn để kết nối bạn với nhà cung cấp phù hợp với nhu cầu của bạn.

Bạn cũng có thể tìm hiểu thêm về dịch vụ quản lý IT và xem các câu trả lời về IT bằng ngôn ngữ dễ hiểu khác.