Kết luận quan trọng nhất: Kinh doanh dịch vụ an toàn thông tin mạng tại Việt Nam là ngành nghề kinh doanh có điều kiện theo Luật An toàn thông tin mạng 2015. Doanh nghiệp cung cấp dịch vụ CDN bảo mật, WAF, DDoS protection, hay kiểm tra thâm nhập bắt buộc phải có giấy phép do Bộ Công An cấp — không phân biệt doanh nghiệp trong nước hay nước ngoài hoạt động trên lãnh thổ Việt Nam.
1. An toàn thông tin mạng — Ngành kinh doanh có điều kiện
Không phải ai cũng biết rằng dịch vụ an toàn thông tin mạng là ngành kinh doanh có điều kiện tại Việt Nam — nghĩa là doanh nghiệp muốn cung cấp dịch vụ này phải được cơ quan nhà nước có thẩm quyền cấp phép trước khi hoạt động.
Điều này khác biệt cơ bản so với nhiều nước khác, nơi dịch vụ CDN hay bảo mật website được coi là dịch vụ công nghệ thông tin thông thường, không cần giấy phép riêng. Tại Việt Nam, do tính chất nhạy cảm của dữ liệu người dùng và an ninh quốc gia, Nhà nước kiểm soát chặt chẽ ngành này.
Hậu quả thực tế: Hàng trăm doanh nghiệp Việt Nam hiện đang sử dụng dịch vụ CDN và bảo mật từ nhà cung cấp nước ngoài không có giấy phép tại Việt Nam — mà không hề biết mình đang đối mặt với rủi ro pháp lý tiềm ẩn.
2. Căn cứ pháp lý đầy đủ
Điều 42 quy định: "Kinh doanh trong lĩnh vực an toàn thông tin mạng là ngành, nghề đầu tư kinh doanh có điều kiện." Các dịch vụ bắt buộc phải có giấy phép bao gồm: dịch vụ bảo vệ an toàn hệ thống thông tin, dịch vụ kiểm tra, đánh giá an toàn thông tin mạng, và dịch vụ ngăn chặn tấn công mạng.
Quy định chi tiết về điều kiện kinh doanh, thủ tục cấp phép và danh mục cụ thể các dịch vụ an toàn thông tin mạng phải có giấy phép. Nghị định này đã được cập nhật và bổ sung qua nhiều lần sửa đổi để phù hợp với sự phát triển của công nghệ.
Liệt kê cụ thể 8 nhóm dịch vụ an toàn thông tin mạng phải có giấy phép, trong đó bao gồm: dịch vụ bảo vệ tấn công từ chối dịch vụ (DDoS), dịch vụ tường lửa ứng dụng web (WAF), và dịch vụ phân tích bảo mật traffic mạng.
Bổ sung thêm yêu cầu về data localization: dữ liệu cá nhân của người dùng Việt Nam phải được lưu trữ tại Việt Nam, và nhà cung cấp dịch vụ xử lý dữ liệu này phải chịu sự quản lý của pháp luật Việt Nam.
3. Ai cấp giấy phép? Quy trình và điều kiện
Theo Luật An toàn thông tin mạng 2015 và Nghị định 108/2016/NĐ-CP quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng — giấy phép do Bộ Công An cấp, cụ thể qua Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05). Doanh nghiệp nộp hồ sơ trực tiếp, qua bưu chính hoặc trực tuyến trên Cổng thông tin điện tử.
Quy định chi tiết điều kiện kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng theo Điều 42 Luật An toàn thông tin mạng 2015. Bao gồm: điều kiện cấp phép, hồ sơ, trình tự thủ tục, thời hạn giấy phép và các mẫu biểu kèm theo.
Điều kiện để được cấp phép (theo NĐ 108/2016)
Doanh nghiệp phải đáp ứng đồng thời các điều kiện sau:
- Phù hợp chiến lược quốc gia: Phù hợp với chiến lược, quy hoạch, kế hoạch phát triển an toàn thông tin mạng quốc gia do Nhà nước ban hành
- Cơ sở vật chất — trang thiết bị kỹ thuật: Có hệ thống trang thiết bị, cơ sở vật chất phù hợp với quy mô cung cấp dịch vụ và phương án kinh doanh đã đề xuất
- Nhân sự chuyên môn: Đội ngũ quản lý, điều hành và kỹ thuật có bằng đại học chuyên ngành hoặc chứng chỉ về an toàn thông tin, công nghệ thông tin hoặc điện tử viễn thông; số lượng nhân sự đáp ứng quy mô phương án kinh doanh
- Phương án kinh doanh hợp lệ: Phương án rõ ràng về phạm vi, đối tượng cung cấp dịch vụ; loại hình dịch vụ dự kiến; phương án bảo mật thông tin khách hàng; cam kết bảo đảm chất lượng dịch vụ
- Phương án kỹ thuật phù hợp: Mô tả tổng thể hệ thống kỹ thuật; đáp ứng chức năng tương ứng loại hình dịch vụ; tuân thủ các quy chuẩn kỹ thuật và tiêu chuẩn bắt buộc áp dụng
Thời gian thẩm định hồ sơ (theo luật)
| Loại hồ sơ | Thời hạn thẩm định tối đa |
|---|---|
| Cấp mới Giấy phép | 15 ngày làm việc kể từ ngày nhận hồ sơ hợp lệ |
| Gia hạn / Sửa đổi, bổ sung Giấy phép | 10 ngày làm việc kể từ ngày nhận hồ sơ hợp lệ |
| Cấp lại Giấy phép | 05 ngày làm việc kể từ ngày nhận hồ sơ hợp lệ |
📋 Thời hạn Giấy phép: Theo NĐ 108/2016, Giấy phép kinh doanh sản phẩm, dịch vụ an toàn thông tin mạng có hiệu lực 10 năm kể từ ngày cấp. Hồ sơ gia hạn phải nộp trước khi giấy phép hết hạn.
4. Dịch vụ nào bắt buộc phải có giấy phép?
| Nhóm dịch vụ | Ví dụ cụ thể | Bắt buộc giấy phép? |
|---|---|---|
| Bảo vệ chống tấn công mạng | DDoS Protection, Anti-flood, IP reputation filtering | Có — bắt buộc |
| Tường lửa ứng dụng web | WAF, API Shield, Bot Management | Có — bắt buộc |
| CDN tích hợp bảo mật | CDN kết hợp WAF/DDoS/SSL inspection | Có — bắt buộc |
| Kiểm tra thâm nhập (Pentest) | Vulnerability assessment, Red team | Có — bắt buộc |
| Giám sát an toàn thông tin | SOC, SIEM, threat monitoring | Có — bắt buộc |
| CDN thuần túy | Chỉ cache và phân phối nội dung tĩnh, không có tính năng bảo mật | Xem xét từng trường hợp |
| Hosting thông thường | Web hosting, VPS, cloud computing không bao gồm dịch vụ bảo mật | Không bắt buộc |
5. Rủi ro khi dùng nhà cung cấp không có giấy phép
Rủi ro pháp lý
Khi một nhà cung cấp nước ngoài không có giấy phép cung cấp dịch vụ an toàn thông tin tại Việt Nam, doanh nghiệp sử dụng có thể bị coi là đồng lõa trong việc sử dụng dịch vụ kinh doanh trái phép. Điều này đặc biệt rủi ro với:
- Doanh nghiệp trong lĩnh vực ngân hàng, tài chính — chịu giám sát của NHNN và Bộ Tài chính
- Doanh nghiệp xử lý dữ liệu cá nhân quy mô lớn — chịu Nghị định 13/2023
- Doanh nghiệp có hợp đồng với cơ quan nhà nước — yêu cầu hạ tầng CNTT tuân thủ đầy đủ
- Doanh nghiệp niêm yết hoặc có kế hoạch IPO — audit compliance sẽ phát hiện vi phạm
Rủi ro bảo mật
Nhà cung cấp không đáp ứng được tiêu chuẩn kỹ thuật để xin giấy phép thường cũng thiếu năng lực bảo mật thực chất. Ngoài ra, khi dữ liệu traffic của doanh nghiệp đi qua máy chủ đặt ngoài Việt Nam (không có data sovereignty), doanh nghiệp mất hoàn toàn kiểm soát về nơi dữ liệu được xử lý và lưu trữ.
Rủi ro về trách nhiệm
Khi xảy ra sự cố bảo mật (data breach, DDoS gây thiệt hại), nếu nhà cung cấp không có giấy phép và không hiện diện pháp lý tại Việt Nam, doanh nghiệp gần như không thể khởi kiện đòi bồi thường theo pháp luật Việt Nam. SLA trên giấy tờ trở nên vô nghĩa.
⚠️ Cảnh báo thực tế: Trong quá trình kiểm tra, thanh tra CNTT tại nhiều ngân hàng và tổ chức tài chính Việt Nam, cơ quan chức năng đã yêu cầu chứng minh giấy phép của nhà cung cấp dịch vụ bảo mật. Một số tổ chức đã phải chấm dứt hợp đồng với nhà cung cấp nước ngoài không giấy phép và chịu chi phí chuyển đổi đáng kể.
6. Checklist 7 câu hỏi bắt buộc khi chọn nhà cung cấp bảo mật
-
1
Có giấy phép kinh doanh an toàn thông tin mạng không? Yêu cầu cung cấp số giấy phép và có thể xác minh trực tiếp với Bộ Công An / A05.
-
2
Pháp nhân hoạt động tại Việt Nam là gì? Phải có công ty đăng ký tại Việt Nam (không chỉ là văn phòng đại diện) để có thể ký hợp đồng và xử lý tranh chấp theo pháp luật VN.
-
3
Dữ liệu traffic được xử lý ở đâu? Yêu cầu cam kết bằng văn bản rằng dữ liệu người dùng Việt Nam được xử lý và lưu trữ tại Việt Nam, không route ra nước ngoài.
-
4
Đội ngũ kỹ thuật bảo mật gồm những ai? Hỏi về số lượng kỹ sư ATTT, chứng chỉ quốc tế họ có, và thời gian phản hồi sự cố cam kết trong SLA.
-
5
SLA có điều khoản bồi thường cụ thể không? SLA tốt phải ghi rõ: mức bồi thường khi vi phạm uptime, hình thức bồi thường (tiền mặt, gia hạn dịch vụ), và cơ chế claim.
-
6
Hỗ trợ sự cố 24/7 tiếng Việt như thế nào? Kênh liên hệ gồm những gì (hotline, Zalo, email)? Thời gian phản hồi tối đa cam kết trong hợp đồng là bao nhiêu phút?
-
7
Có thể tham khảo khách hàng thực tế không? Yêu cầu danh sách reference khách hàng tại Việt Nam và có thể liên hệ xác minh chất lượng dịch vụ thực tế.
7. Tại sao ít công ty có giấy phép?
Dù thời gian thẩm định hồ sơ theo luật chỉ tối đa 15 ngày làm việc, thực tế rất ít doanh nghiệp đủ khả năng đáp ứng đầy đủ điều kiện để nộp hồ sơ hợp lệ ngay từ đầu. Nguyên nhân:
- Yêu cầu nhân sự chuyên môn: Phải có đội ngũ kỹ thuật đủ bằng cấp/chứng chỉ ATTT/CNTT đáp ứng quy mô phương án kinh doanh — trong bối cảnh Việt Nam đang thiếu hụt nghiêm trọng nhân lực ATTT lành nghề
- Chi phí hạ tầng kỹ thuật lớn: Phải xây dựng hệ thống trang thiết bị cơ sở vật chất phù hợp, có phương án kỹ thuật đáp ứng quy chuẩn bắt buộc — không thể chỉ resell dịch vụ nước ngoài
- Hồ sơ phức tạp: Bộ hồ sơ gồm Đơn đề nghị, Phương án kinh doanh (Mẫu 03), Phương án kỹ thuật (Mẫu 04) — đòi hỏi chuẩn bị kỹ lưỡng trước khi nộp để hồ sơ hợp lệ ngay lần đầu
- Chi phí tuân thủ liên tục: Duy trì điều kiện kinh doanh, báo cáo định kỳ cho cơ quan quản lý, và gia hạn giấy phép 10 năm một lần theo đúng quy định
Kết quả: Trên thị trường Việt Nam hiện tại, chỉ có một số ít doanh nghiệp thực sự đáp ứng đầy đủ điều kiện và được cấp phép để cung cấp dịch vụ CDN bảo mật, WAF và DDoS protection. Đây là rào cản chất lượng giúp bảo vệ người tiêu dùng.
8. Shieldix — Được cấp phép đầy đủ, sẵn sàng minh chứng
Shieldix là một trong số ít nhà cung cấp tại Việt Nam đáp ứng đầy đủ mọi điều kiện và được Bộ Công An cấp giấy phép kinh doanh dịch vụ an toàn thông tin mạng:
✅ Giấy phép kinh doanh ATTT mạng: Do Bộ Công An — Cục A05 cấp — số giấy phép có thể xác minh trực tiếp
✅ Pháp nhân tại Việt Nam: Công ty TNHH đăng ký kinh doanh tại Việt Nam, ký hợp đồng và chịu pháp luật VN
✅ Hạ tầng nội địa: 10 PoP đặt vật lý tại Việt Nam, dữ liệu xử lý trong lãnh thổ VN
✅ ISO 27001: Hệ thống quản lý an toàn thông tin được chứng nhận quốc tế
✅ Đội ngũ kỹ thuật: 50+ kỹ sư ATTT với chứng chỉ CISSP, CEH, CISM
✅ SLA rõ ràng: Cam kết 99.99% uptime với điều khoản bồi thường bằng văn bản
Chọn Shieldix — Được cấp phép, đáng tin cậy, hỗ trợ tiếng Việt
Giấy phép Bộ Công An · ISO 27001 · 10 PoP tại VN · SLA 99.99% · Hỗ trợ 24/7 tiếng Việt · Data sovereignty
Tư vấn tuân thủ pháp lý miễn phí