Đưa workload lên AWS, Azure hoặc Google Cloud không đơn thuần là quyết định kỹ thuật — đó là quyết định pháp lý. Nghị định 13/2023 của Chính phủ về bảo vệ dữ liệu cá nhân (PDPD), kèm Luật An ninh mạng 2018 và các thông tư hướng dẫn, đã thay đổi nhiều giả định cũ về cloud cho doanh nghiệp Việt Nam.
Mười điểm checklist trước khi migrate
- 1. Phân loại data theo PDPD: data cá nhân (PII), data nhạy cảm (health, financial), data nội bộ thường
- 2. Xác định data nào bắt buộc lưu tại Việt Nam — chủ yếu là data ngành ngân hàng, viễn thông, y tế công
- 3. Chọn region cloud gần nhất nếu không bắt buộc trong nước — Singapore (ap-southeast-1) cho AWS/Azure/GCP
- 4. Ký Data Processing Agreement (DPA) với cloud vendor — kèm điều khoản tuân thủ PDPD
- 5. Thiết lập consent flow cho user nếu xử lý PII — log lại consent và thời điểm
- 6. Đăng ký với Cục An toàn thông tin nếu xử lý data nhạy cảm trên cross-border infrastructure
- 7. Thiết lập breach notification process — báo cáo trong 72 giờ theo PDPD
- 8. Lưu trữ data audit log tối thiểu 24 tháng
- 9. Định kỳ DPIA (Data Protection Impact Assessment) cho workload xử lý >10.000 PII subjects
- 10. Có cơ chế xoá data theo yêu cầu user (right to erasure)
Sai lầm phổ biến nhất
Nhiều doanh nghiệp Việt hiểu nhầm Nghị định 13/2023 yêu cầu toàn bộ data phải lưu tại Việt Nam — không đúng. Chỉ một số ngành đặc thù mới có yêu cầu này. Đa số B2B SaaS hoạt động bình thường với hosting Singapore + DPA + consent flow đầy đủ.
Digi43 phối hợp với cố vấn pháp lý hỗ trợ doanh nghiệp Việt review compliance trước migration, soạn thảo DPA template với cloud vendor, và thiết lập breach notification SOP. Liên hệ cho gói assessment 1-2 tuần.
