Bảo mật khi thuê gia công phần mềm là rủi ro mà nhiều doanh nghiệp Việt xử lý hời hợt bằng một chữ ký vào bản NDA, để rồi phát hiện lớp bảo vệ đó mỏng manh đến mức nào khi sự cố xảy ra. Kể từ ngày 1 tháng 1 năm 2026, khi Luật Bảo vệ dữ liệu cá nhân 2025 có hiệu lực với mức phạt lên tới 5% doanh thu cho vi phạm chuyển dữ liệu xuyên biên giới, câu chuyện bảo mật không còn là lời khuyên mà đã thành nghĩa vụ pháp lý có chế tài nặng. Qua nhiều năm xây dựng quy trình bảo mật cho khách hàng tại các thị trường khó tính, chúng tôi rút ra rằng một chiến lược bảo mật vững phải gồm ba lớp là pháp lý, con người và kỹ thuật, trong đó NDA chỉ là một phần nhỏ. Bài viết này Hitek Software phân tích sâu từng lớp, làm rõ khác biệt giữa NDA và DPA theo luật mới, kèm danh sách kiểm tra bạn có thể dùng trước khi đặt bút ký.
Contents
ToggleBảo mật khi thuê gia công phần mềm thực chất bảo vệ những gì?
Trước khi bàn cách bảo vệ, cần xác định rõ bảo mật khi thuê gia công phần mềm đang bảo vệ chính xác những tài sản nào, vì mỗi loại tài sản đòi hỏi một cơ chế khác nhau. Nhiều doanh nghiệp chỉ nghĩ tới việc chống lộ ý tưởng, trong khi phạm vi thực tế rộng hơn nhiều.
Có bốn nhóm tài sản cần được bảo vệ trong một dự án thuê ngoài.
- Thứ nhất là mã nguồn và tài sản trí tuệ, gồm thuật toán, kiến trúc hệ thống và logic nghiệp vụ tạo nên lợi thế cạnh tranh.
- Thứ hai là dữ liệu, đặc biệt là dữ liệu cá nhân của khách hàng và dữ liệu vận hành nhạy cảm mà đối tác được tiếp cận trong quá trình phát triển.
- Thứ ba là bí mật kinh doanh, gồm chiến lược sản phẩm, mô hình doanh thu và kế hoạch thị trường lộ ra qua các buổi trao đổi yêu cầu.
- Thứ tư là hạ tầng và thông tin truy cập, gồm tài khoản máy chủ, khóa API và thông tin đăng nhập mà đối tác cần để làm việc.
Điểm mấu chốt là bốn nhóm này chịu các rủi ro khác nhau và cần các lớp bảo vệ khác nhau. Một bản NDA có thể răn đe việc tiết lộ bí mật kinh doanh, nhưng gần như vô dụng trước một lỗ hổng kỹ thuật khiến khóa API bị lộ ra ngoài. Đây là lý do một cách tiếp cận bảo mật thật sự phải phối hợp nhiều lớp thay vì trông cậy vào một văn bản duy nhất. Toàn bộ vấn đề này nằm trong bức tranh lớn hơn của dịch vụ gia công phần mềm, nơi việc chọn đúng đối tác quyết định phần lớn mức độ an toàn.

Hiểu rõ cơ chế bảo mật khi thuê gia công phần mềm
Vì sao NDA là cần thiết nhưng chưa đủ?
NDA là điểm khởi đầu của mọi thỏa thuận bảo mật, nhưng hiểu đúng giới hạn của nó mới giúp doanh nghiệp không rơi vào cảm giác an toàn giả tạo. Chúng tôi thường nói với khách hàng rằng NDA giống như một cái khóa cửa, cần thiết nhưng không ngăn được kẻ đã có chìa hoặc một lỗ hổng ở cửa sổ.
NDA bảo vệ được gì và không bảo vệ được gì?
NDA, hay thỏa thuận không tiết lộ, là cam kết pháp lý ràng buộc các bên không tiết lộ thông tin mật. Sức mạnh của nó nằm ở khả năng răn đe và tạo cơ sở pháp lý để đòi bồi thường khi có vi phạm. Tuy nhiên, bản chất của NDA là một biện pháp khắc phục sau khi sự cố đã xảy ra, chứ không phải một biện pháp ngăn chặn. Nó không tự động mã hóa dữ liệu của bạn, không giới hạn quyền truy cập của lập trình viên vào những phần nhạy cảm và không ngăn một nhân viên bất cẩn sao chép mã nguồn ra thiết bị cá nhân. Khi thông tin đã rò rỉ, thiệt hại cạnh tranh thường đã xảy ra rồi, và việc thắng kiện không đưa được bí mật trở lại vào hộp.
Nói cách khác, NDA bảo vệ quyền lợi pháp lý của bạn nhưng không bảo vệ chính thông tin. Đó là lý do nó phải là lớp ngoài cùng của một khung bảo mật nhiều tầng, chứ không phải toàn bộ chiến lược.
Những điều khoản một NDA gia công phần mềm tốt cần có
Một bản NDA chặt chẽ cho dự án phần mềm cần quy định rõ một số nội dung cốt lõi. Cần định nghĩa cụ thể thế nào là thông tin mật, tránh cách viết chung chung dễ bị lách. Cần nêu rõ phạm vi sử dụng thông tin, chỉ phục vụ đúng dự án. Cần quy định thời hạn hiệu lực kéo dài cả sau khi hợp đồng kết thúc, vì bí mật kinh doanh không hết giá trị vào ngày bàn giao. Cần có điều khoản hoàn trả hoặc tiêu hủy dữ liệu khi dự án chấm dứt, và chế tài bồi thường đủ mạnh để tạo sức răn đe thật. Một NDA thiếu các điều khoản này thường chỉ mang tính hình thức.
NDA khác gì với DPA và vì sao dự án có dữ liệu cá nhân cần cả hai?
Đây là điểm mà theo kinh nghiệm của chúng tôi, phần lớn doanh nghiệp Việt còn nhầm lẫn, và sự nhầm lẫn này giờ đã trở nên tốn kém về mặt pháp lý. Nếu dự án của bạn xử lý bất kỳ dữ liệu cá nhân nào, một mình NDA là không đủ để tuân thủ luật.
Hợp đồng xử lý dữ liệu cá nhân (DPA) là gì?
DPA, viết tắt của Data Processing Agreement hay hợp đồng xử lý dữ liệu cá nhân, là thỏa thuận giữa bên kiểm soát dữ liệu và bên được giao xử lý dữ liệu theo chỉ dẫn. Trong quan hệ thuê ngoài, doanh nghiệp thuê thường là bên kiểm soát, còn công ty gia công là bên xử lý. Khác với NDA vốn chỉ cam kết giữ bí mật, DPA quy định cách dữ liệu cá nhân được xử lý, bảo vệ và hoàn trả theo đúng pháp luật. Trên thực tế, DPA có thể là một hợp đồng độc lập hoặc một phụ lục đính kèm hợp đồng dịch vụ chính.
Một DPA đầy đủ cần có các điều khoản về bảo mật và phân quyền, cơ chế thông báo sự cố dữ liệu, hỗ trợ quyền của chủ thể dữ liệu, quy định về nhà thầu phụ với yêu cầu chấp thuận trước và nghĩa vụ không thấp hơn bên xử lý, việc chuyển dữ liệu xuyên biên giới, cùng cam kết xóa dữ liệu khi chấm dứt và điều khoản bồi thường khi làm lộ hoặc dùng sai dữ liệu. Bảng dưới đây làm rõ khác biệt giữa hai văn bản.
| Tiêu chí | NDA | DPA |
|---|---|---|
| Mục đích | Giữ bí mật thông tin nói chung | Quản lý việc xử lý dữ liệu cá nhân |
| Cơ sở pháp lý | Thỏa thuận dân sự | Luật Bảo vệ dữ liệu cá nhân 2025 |
| Bảo vệ | Bí mật kinh doanh, ý tưởng, mã nguồn | Dữ liệu cá nhân của khách hàng và bên thứ ba |
| Bắt buộc | Theo thỏa thuận | Bắt buộc khi có xử lý dữ liệu cá nhân |
| Nội dung đặc thù | Định nghĩa thông tin mật, thời hạn | Phân quyền, thông báo sự cố, nhà thầu phụ, xóa dữ liệu |

Sự khác biệt tiêu chí giữa NDA và DPA
Nghĩa vụ pháp lý và chế tài theo luật mới
Từ ngày 1 tháng 1 năm 2026, Luật Bảo vệ dữ liệu cá nhân 2025 số 91/2025/QH15 cùng Nghị định 356/2025/NĐ-CP thay thế Nghị định 13/2023/NĐ-CP, nâng khung bảo vệ dữ liệu từ nghị định lên thành luật với chế tài nghiêm khắc hơn nhiều. Mức phạt cho hành vi vi phạm chuyển dữ liệu cá nhân xuyên biên giới có thể lên tới 5% doanh thu năm trước liền kề của tổ chức. Các vi phạm khác trong lĩnh vực bảo vệ dữ liệu cá nhân chịu mức phạt tối đa 3 tỷ đồng, riêng hành vi mua bán dữ liệu cá nhân có thể bị phạt tới 10 lần khoản thu bất hợp pháp.
Bên cạnh chế tài, luật mới còn đặt ra nghĩa vụ chủ động. Doanh nghiệp phải lập hồ sơ đánh giá tác động xử lý dữ liệu, gọi là DPIA, và gửi cho cơ quan chuyên trách trong vòng 60 ngày kể từ khi bắt đầu xử lý. Với dữ liệu chuyển ra ngoài lãnh thổ, cần thêm hồ sơ đánh giá tác động chuyển dữ liệu xuyên biên giới, gọi là TIA. Điều này nghĩa là khi thuê một đối tác gia công tiếp cận dữ liệu cá nhân, trách nhiệm tuân thủ vẫn thuộc về doanh nghiệp bạn với vai trò bên kiểm soát, nên việc chọn một đối tác hiểu và tuân thủ các nghĩa vụ này trở thành yếu tố sống còn.
Khung bảo mật ba lớp khi thuê gia công phần mềm gồm những gì?
Từ thực tế phục vụ các thị trường đòi hỏi bảo mật cao, chúng tôi đúc kết một cách tiếp cận mà chúng tôi gọi là khung bảo mật ba lớp. Ý tưởng cốt lõi là không lớp nào đủ một mình, và ba lớp cùng nhau tạo nên chiều sâu phòng thủ mà một lỗ hổng đơn lẻ không thể phá vỡ.
Lớp pháp lý và hợp đồng
Đây là lớp nền tảng, gồm NDA và DPA đã phân tích ở trên, cộng với các điều khoản về quyền sở hữu và bàn giao mã nguồn cùng giới hạn trách nhiệm bồi thường. Lớp này cũng nên bao gồm quyền kiểm toán, cho phép doanh nghiệp yêu cầu đối tác chứng minh việc tuân thủ các cam kết bảo mật. Điều khoản sở hữu mã nguồn đặc biệt quan trọng, vì một sản phẩm bạn không sở hữu được mã nguồn là một sản phẩm bạn khó kiểm soát về mặt an toàn. Chúng tôi đã phân tích sâu chủ đề này trong bài quyền sở hữu mã nguồn khi thuê ngoài, và nó liên hệ chặt chẽ với bảo mật.
Lớp tổ chức và con người
Phần lớn sự cố bảo mật bắt nguồn từ con người chứ không phải công nghệ, nên lớp này thường bị xem nhẹ nhưng lại quyết định. Một đối tác nghiêm túc sẽ áp dụng nguyên tắc đặc quyền tối thiểu, chỉ cấp cho mỗi lập trình viên quyền truy cập đúng phần họ cần, thay vì mở toàn bộ hệ thống. Họ có quy trình kiểm tra nhân sự, đào tạo nhận thức bảo mật định kỳ và đặc biệt là quy trình thu hồi quyền truy cập khi một thành viên rời dự án. Rủi ro từ nhà thầu phụ cũng thuộc lớp này, khi đối tác thuê lại bên thứ ba mà không ràng buộc nghĩa vụ bảo mật tương đương, tạo ra một mắt xích yếu ngoài tầm kiểm soát của bạn.
Lớp kỹ thuật
Đây là lớp cụ thể nhất, gồm các biện pháp mà một đội ngũ trưởng thành triển khai theo tinh thần của chuẩn ISO/IEC 27001. Các biện pháp cốt lõi gồm kiểm soát truy cập theo vai trò, mã hóa dữ liệu khi lưu trữ và truyền tải, phân tách mạng và dùng VPN cho kết nối, quản lý an toàn các khóa bí mật và thông tin đăng nhập thay vì để lẫn trong mã nguồn, cùng nhật ký kiểm toán ghi lại ai đã truy cập cái gì. Với kho mã nguồn, việc phân quyền chặt trên repository và rà soát mã trước khi hợp nhất giúp giảm rủi ro cả về chất lượng lẫn an toàn. Bảng dưới tóm tắt ba lớp.
| Lớp | Bảo vệ chống lại | Biện pháp tiêu biểu |
|---|---|---|
| Pháp lý và hợp đồng | Rủi ro pháp lý, mất quyền sở hữu | NDA, DPA, điều khoản bàn giao, quyền kiểm toán |
| Tổ chức và con người | Sai sót và cố ý từ nội bộ | Đặc quyền tối thiểu, đào tạo, thu hồi quyền, kiểm soát nhà thầu phụ |
| Kỹ thuật | Tấn công và rò rỉ kỹ thuật | Mã hóa, kiểm soát truy cập, VPN, quản lý khóa bí mật, nhật ký |

Khung 3 lớp bảo mật khi thuê gia công phần mềm
Chuyển dữ liệu xuyên biên giới có rủi ro riêng nào?
Với doanh nghiệp Việt thuê đối tác nước ngoài, hoặc doanh nghiệp nước ngoài thuê đội ngũ tại Việt Nam, yếu tố bảo mật khi thuê gia công phần mềm có thêm một lớp phức tạp là chuyển dữ liệu xuyên biên giới. Luật mới định nghĩa lại khái niệm này rộng hơn, bao gồm cả việc dữ liệu đang lưu tại Việt Nam được truy cập từ một hệ thống ngoài lãnh thổ.
Điều này có nghĩa là ngay cả khi dữ liệu không rời khỏi máy chủ ở Việt Nam, việc một đội ngũ ở nước ngoài truy cập vào cũng có thể được coi là chuyển dữ liệu xuyên biên giới và làm phát sinh nghĩa vụ lập hồ sơ TIA. Đây là điểm nhiều doanh nghiệp bỏ sót. Kinh nghiệm của chúng tôi khi phục vụ khách hàng Hàn Quốc, Nhật Bản và Mỹ cho thấy các thị trường này đã quen với những quy định tương tự như GDPR của châu Âu, nên một đối tác từng làm việc trong môi trường đó thường đã có sẵn quy trình xử lý dữ liệu xuyên biên giới bài bản. Nói cách khác, năng lực phục vụ thị trường khó tính chính là bằng chứng gián tiếp về mức độ trưởng thành trong bảo mật.
Cần kiểm tra gì về bảo mật trước khi ký hợp đồng gia công?
Trước khi đặt bút ký, doanh nghiệp nên rà soát đối tác theo một danh sách cụ thể thay vì tin vào lời cam kết chung chung. Dưới đây là những hạng mục chúng tôi cho là quan trọng nhất.
- Đối tác có sẵn sàng ký cả NDA và DPA không, và bản DPA có đủ các điều khoản về thông báo sự cố cùng nhà thầu phụ không.
- Họ áp dụng nguyên tắc đặc quyền tối thiểu ra sao, ai được truy cập vào phần nào của dự án.
- Quy trình thu hồi quyền truy cập khi nhân sự rời dự án được thực hiện thế nào.
- Các biện pháp kỹ thuật cụ thể như mã hóa, quản lý khóa bí mật và nhật ký kiểm toán có được áp dụng không.
- Cam kết bàn giao và xóa dữ liệu khi dự án kết thúc được ghi rõ trong hợp đồng chưa.
- Kinh nghiệm tuân thủ các chuẩn quốc tế như ISO/IEC 27001 hoặc các quy định tương tự GDPR.
Một đối tác trả lời rõ ràng và tự tin về các hạng mục này thường là đối tác đã thật sự đầu tư cho bảo mật. Ngược lại, sự mơ hồ hoặc né tránh là dấu hiệu cần thận trọng, và bạn có thể đối chiếu thêm với các tiêu chí trong bài về hợp đồng gia công phần mềm.
Hitek Software tiếp cận bảo mật khi thuê gia công phần mềm như thế nào?
Cách một công ty đối xử với bảo mật khi thuê gia công phần mềm phản ánh mức độ trưởng thành thật sự của họ. Tại Hitek Software, chúng tôi xem bảo mật là một phần của cam kết nghề nghiệp chứ không phải một mục để trấn an khách hàng.
Nền tảng trong cách làm của chúng tôi là nguyên tắc bàn giao không giữ khóa, nghĩa là mã nguồn, repository và tài liệu kỹ thuật thuộc về khách hàng xuyên suốt dự án, giúp khách hàng luôn giữ quyền kiểm soát tối đa đối với tài sản của mình. Chúng tôi áp dụng khung ba lớp đã trình bày, từ hợp đồng minh bạch gồm NDA và DPA khi cần, đến quy trình phân quyền và thu hồi truy cập chặt chẽ, cùng các biện pháp kỹ thuật theo tinh thần các chuẩn bảo mật quốc tế. Kinh nghiệm phục vụ khách hàng tại Hàn Quốc, Nhật Bản và Mỹ, những nơi có yêu cầu bảo mật khắt khe, đã buộc chúng tôi chuẩn hóa quy trình này từ sớm. Chúng tôi tin rằng nếu đủ năng lực đáp ứng các thị trường khó tính đó, chúng tôi thừa sức đồng hành an toàn cùng doanh nghiệp trong nước.
Doanh nghiệp muốn một đối tác coi bảo mật là cam kết chứ không phải lời hứa suông? Hãy liên hệ dịch vụ phát triển phần mềm theo yêu cầu của Hitek Software để được tư vấn về quy trình bảo mật phù hợp với dự án và mức độ tuân thủ pháp lý bạn cần.
Key Takeaways
- Bảo mật khi thuê gia công phần mềm phải bảo vệ bốn nhóm tài sản là mã nguồn, dữ liệu, bí mật kinh doanh và thông tin truy cập hạ tầng, mỗi nhóm cần một cơ chế riêng.
- NDA là cần thiết nhưng chưa đủ, vì nó là biện pháp khắc phục sau sự cố chứ không ngăn chặn được rò rỉ thông tin.
- Dự án có xử lý dữ liệu cá nhân cần cả NDA và DPA; theo Luật Bảo vệ dữ liệu cá nhân 2025, vi phạm có thể bị phạt tới 5% doanh thu với chuyển dữ liệu xuyên biên giới và tối đa 3 tỷ đồng với các vi phạm khác.
- Một chiến lược bảo mật vững gồm ba lớp là pháp lý, tổ chức con người và kỹ thuật, không lớp nào đủ một mình.
- Chuyển dữ liệu xuyên biên giới có nghĩa vụ pháp lý riêng như hồ sơ TIA, kể cả khi dữ liệu chỉ bị truy cập từ nước ngoài.
- Trước khi ký, hãy kiểm tra đối tác theo danh sách cụ thể về NDA, DPA, đặc quyền tối thiểu, biện pháp kỹ thuật và cam kết bàn giao.
Câu hỏi thường gặp (FAQ)
Ký NDA có đủ để bảo vệ dự án phần mềm không? Không. NDA là lớp bảo vệ pháp lý cần thiết nhưng chỉ có tác dụng răn đe và đòi bồi thường sau khi sự cố xảy ra. Nó không tự mã hóa dữ liệu hay giới hạn quyền truy cập, nên cần kết hợp với các biện pháp tổ chức và kỹ thuật để thật sự an toàn.
NDA và DPA khác nhau thế nào? NDA cam kết giữ bí mật thông tin nói chung, còn DPA là hợp đồng xử lý dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 2025, quy định cách dữ liệu cá nhân được xử lý, bảo vệ và xóa. Dự án có xử lý dữ liệu cá nhân cần cả hai, vì chúng bảo vệ hai đối tượng khác nhau.
Vi phạm bảo vệ dữ liệu cá nhân bị phạt bao nhiêu? Theo luật hiện hành từ năm 2026, vi phạm về chuyển dữ liệu cá nhân xuyên biên giới có thể bị phạt tới 5% doanh thu năm trước liền kề. Các vi phạm khác chịu mức phạt tối đa 3 tỷ đồng, riêng hành vi mua bán dữ liệu cá nhân có thể bị phạt tới 10 lần khoản thu bất hợp pháp.
Làm sao đánh giá năng lực bảo mật của một công ty gia công? Hãy hỏi cụ thể về việc họ có ký DPA không, áp dụng nguyên tắc đặc quyền tối thiểu ra sao, quy trình thu hồi quyền truy cập khi nhân sự rời dự án, các biện pháp kỹ thuật như mã hóa và quản lý khóa bí mật, cùng kinh nghiệm tuân thủ các chuẩn như ISO/IEC 27001. Câu trả lời cụ thể là dấu hiệu của một đối tác đã đầu tư nghiêm túc.
Lưu ý: Nội dung bài viết mang tính tham khảo chung dựa trên thực tiễn ngành và quy định pháp luật tại thời điểm viết, không phải tư vấn pháp lý. Với các trường hợp cụ thể liên quan đến bảo vệ dữ liệu cá nhân, doanh nghiệp nên tham vấn luật sư hoặc chuyên gia tuân thủ.





