1. Vì sao công ty luật, tài chính cần GW chuyên biệt?

Ngành luật và tài chính đối mặt với 3 nhóm rủi ro đặc thù:

• Bí mật thân chủ / khách hàng: email luật sư-thân chủ, tài liệu M&A, due diligence, valuation - lộ lọt là phá sản tức thì.
• Compliance bắt buộc: Luật Luật sư, Luật Kế toán, Luật Tổ chức tín dụng, Luật Chứng khoán, NĐ 13/2023 (bảo vệ dữ liệu cá nhân), GDPR khi có khách hàng EU.
• Lưu trữ pháp lý dài hạn: chứng từ kế toán 10 năm (Luật Kế toán điều 41), email hợp đồng 5-7 năm, hồ sơ vụ việc 10 năm sau khi đóng.

Email Gmail miễn phí + Drive cá nhân hoàn toàn không đáp ứng được. Ngay cả Business Standard cũng thiếu Vault. Bài này phân tích 7 yêu cầu compliance cụ thể và khuyến nghị gói GW phù hợp.

2. Chuẩn certification Google Workspace

Cả 3 gói (Business Std/Plus, Enterprise Std/Plus) đều đáp ứng SOC 2 + ISO 27001 + ISO 27018 - đủ cho hầu hết audit kiểm toán Việt Nam. Khác biệt nằm ở tính năng compliance chủ động như Vault, DLP, S/MIME, Context-Aware - chỉ có ở Plus và Enterprise.

3. Yêu cầu 1: Vault - lưu trữ pháp lý bắt buộc

3.1. Vault làm gì?

Vault là dịch vụ lưu trữ + eDiscovery cho Gmail, Drive, Chat, Groups, Meet recording. Cho phép:

• Thiết lập retention policy: giữ email/file của OU/user trong X năm (1, 3, 5, 7, 10, indefinite).
• Hold theo legal hold khi có vụ việc đang xảy ra - user không xoá được.
• Tìm kiếm xuyên dữ liệu, kể cả email đã xoá (trong thời gian retention).
• Export theo định dạng EML/PST/MBOX cho luật sư hoặc cơ quan điều tra.

3.2. So sánh Vault giữa các gói

3.3. Áp dụng cho công ty luật, kế toán Việt Nam

• Văn phòng luật < 10 luật sư: Business Plus đủ - retention 10 năm cho email vụ việc.
• Văn phòng luật trung-lớn (30+): Enterprise Standard - granular per-OU.
• Công ty kế toán/kiểm toán nhỏ: Business Plus - retention 10 năm theo Luật Kế toán.
• Big4 / Top 10 firms: Enterprise Plus - advanced eDiscovery cho audit.

4. Yêu cầu 2: DLP - phòng chống rò rỉ dữ liệu

4.1. Use case cụ thể

• Luật sư copy file term sheet vào Gmail cá nhân để work tại nhà → DLP chặn.
• Kế toán share file CSV chứa số CMND nhân viên ra external → DLP block.
• Trợ lý forward email đính kèm hợp đồng cho địa chỉ lạ → DLP cảnh báo + block.

4.2. DLP rules cho công ty luật-tài chính

rules:
  - name: Block_CMND_External_Share
    trigger: gmail.send | drive.share
    detector: vietnam_cccd_12digit
    scope: external_only
    action: BLOCK

  - name: Warn_Confidential_Label
    trigger: drive.share
    detector: label:CONFIDENTIAL
    action: WARN_USER

  - name: Block_Bank_Account
    trigger: gmail.send
    detector: regex:\b\d{8,18}\b + keyword:tài khoản
    action: QUARANTINE_FOR_ADMIN

DLP chỉ có ở Enterprise Standard trở lên. Doanh nghiệp luật-tài chính 50+ user gần như bắt buộc Enterprise.

5. Yêu cầu 3: S/MIME - mã hoá email end-to-end

5.1. Khác biệt với TLS

TLS mã hoá đường truyền giữa server Gmail và server đối tác. Sau khi đến server, email lưu plain - Google đọc được, admin email server đối tác đọc được. S/MIME mã hoá nội dung email bằng key cá nhân, kể cả Google cũng không đọc được.

5.2. Use case

• Email luật sư gửi thân chủ về chiến lược kiện tụng → S/MIME bảo vệ attorney-client privilege.
• Email tài chính gửi share holder về kết quả Q4 trước khi công bố → S/MIME chống insider trading.
• Email M&A gửi advisor về valuation → S/MIME chống leak.

5.3. Cấu hình

S/MIME yêu cầu mỗi user có certificate cá nhân (DigiCert, Sectigo, hoặc CA nội bộ). Deploy qua Cloud Identity. TND hỗ trợ provision cert + import vào Gmail web/mobile.

S/MIME chỉ có ở Enterprise Standard trở lên.

6. Yêu cầu 4: Context-Aware Access - zero trust

Cấu hình rule kiểu:

access_policy:
  name: Lawyer_AC_Rule
  apply_to: OU=/Lawyers
  conditions:
    - device_managed: true
    - device_encrypted: true
    - country: [VN, SG]
    - chrome_version: ">=130"
    - login_time: 07:00-22:00 (Asia/Bangkok)
  action: ALLOW
  else: CHALLENGE_MFA

Bảo vệ trước scenario: luật sư bỏ quên laptop ở quán café, kẻ gian login → block do device không managed + IP lạ.

7. Yêu cầu 5: Endpoint management nâng cao

Quản lý thiết bị truy cập GW của nhân viên - đặc biệt quan trọng cho công ty luật/tài chính có nhân viên BYOD.

• Wipe remote: nhân viên nghỉ việc → wipe data GW khỏi điện thoại trong 10 phút.
• Work profile Android: tách biệt data công ty và cá nhân trên điện thoại Android.
• Password policy: enforce min 8 ký tự, mixed case, change every 90 ngày.
• App allowlist: chỉ cho phép cài app từ list approved.
• Jailbreak/root detection: block thiết bị đã root.

Endpoint management cơ bản có từ Business Starter (sync only). Endpoint nâng cao (MDM, app management, work profile) chỉ có từ Business Plus trở lên.

8. Yêu cầu 6: NĐ 13/2023 - bảo vệ dữ liệu cá nhân

Nghị định 13/2023/NĐ-CP có hiệu lực từ 1/7/2023, yêu cầu doanh nghiệp xử lý dữ liệu cá nhân tại Việt Nam phải:

• Có cơ chế đồng ý của chủ thể dữ liệu.
• Bảo vệ dữ liệu khỏi truy cập trái phép.
• Báo cáo sự cố dữ liệu trong 72 giờ.
• Lưu trữ + hủy dữ liệu theo retention policy.
• Đảm bảo cross-border transfer hợp lệ.

GW Enterprise đáp ứng cả 5 yêu cầu thông qua: Vault (retention + hủy), DLP (bảo vệ), Cloud Audit Logs (báo cáo sự cố), Data Region (cross-border control). TND cung cấp checklist NĐ 13 + cấu hình GW theo checklist khi onboard khách hàng pháp lý-tài chính.

9. Yêu cầu 7: Audit logs + reporting

9.1. Loại log có sẵn

• Login activity (success/failure, IP, geo).
• Admin activity (mọi thay đổi cấu hình).
• Drive activity (upload, download, share, delete).
• Gmail activity (gửi external, forward, filter rules).
• Calendar, Chat, Meet, Groups.

9.2. Retention

Doanh nghiệp tuân thủ ISO 27001 thường yêu cầu lưu log tối thiểu 2 năm → chọn Enterprise. Hoặc export sang BigQuery / SIEM nội bộ.

10. Khuyến nghị cụ thể theo loại firm

10.1. Văn phòng luật 5-15 luật sư

• Gói: Business Plus.
• Cấu hình: OU "Lawyers" + "Support Staff". Vault retention 10 năm cho Lawyers. Endpoint nâng cao MDM iPad/iPhone.
• Chi phí: 10 user = ~54M/năm. Hoá đơn VAT điện tử TT 78 do TND xuất.

10.2. Văn phòng luật 30+ luật sư hoặc tier-1 firm

• Gói: Enterprise Standard.
• Cấu hình: DLP block share term sheet/contract ra ngoài, S/MIME cho partner, Context-Aware với geo VN+SG.
• Chi phí: 30 user = ~225M/năm.

10.3. Công ty kế toán-kiểm toán 10-30 người

• Gói: Business Plus.
• Cấu hình: Vault retention 10 năm (Luật Kế toán điều 41), Shared Drive theo client.
• Chi phí: 20 user = ~108M/năm.

10.4. Big4 / Top 10 audit firm tại VN

• Gói: Enterprise Plus.
• Cấu hình: Connected Sheets với BigQuery cho data analytics, advanced eDiscovery, S/MIME, Cloud Identity Premium.

10.5. Công ty chứng khoán / quỹ đầu tư

• Gói: Enterprise Plus.
• Cấu hình: DLP block insider info, S/MIME bắt buộc cho IB team, Context-Aware geo, audit log export sang SIEM.

"Công ty luật chúng tôi chuyển từ email tự host sang Google Workspace Business Plus qua TND năm 2024. Vault giúp chúng tôi đáp ứng yêu cầu lưu trữ 10 năm theo Luật Luật sư mà không cần admin email server riêng. Mọi hoá đơn VAT điện tử TT 78 đầy đủ."

11. Quy trình triển khai bảo mật chuẩn

1. Audit hiện trạng: TND khảo sát workflow, ngành nghề, requirement compliance.
2. Setup tenant + OU: Tạo OU theo phòng ban (Lawyers, Support, Finance, IT).
3. Bật 2SV bắt buộc: Cho mọi user, ngoại lệ chỉ exec với security key hardware.
4. Cấu hình Vault: Retention rule theo OU và năm.
5. Cấu hình DLP: Rule cho CCCD, số TK ngân hàng, từ khoá "confidential".
6. Bật Context-Aware: Rule geo VN+SG, device managed, MFA challenge.
7. Endpoint enrollment: Hướng dẫn nhân viên enroll device qua Google Apps Device Policy.
8. Đào tạo: 2-3 buổi cho IT + 1 buổi awareness cho toàn nhân viên.
9. Audit 6 tháng: Review log, điều chỉnh policy.

12. Câu hỏi thường gặp

12.1. Dữ liệu GW lưu ở đâu?

GW có data region setting (Enterprise+) cho phép chọn US, EU, hoặc Global. Mặc định Global. Với khách Việt Nam, mặc định data có thể ở US/EU/Singapore - admin có thể request US-only nếu cần.

12.2. Có thể tích hợp với SIEM nội bộ?

Có. Enterprise hỗ trợ Cloud Audit Logs export sang BigQuery → từ đó stream sang Splunk, ELK, Sentinel.

12.3. Khi có yêu cầu cơ quan điều tra, GW phản hồi thế nào?

Google công khai Transparency Report hàng quý. Yêu cầu phải qua MLAT (Mutual Legal Assistance Treaty) hoặc lệnh tòa Mỹ - không response trực tiếp lệnh VN.

12.4. Có cross-link tới blog GW khác?

Đọc thêm: khi nào lên Enterprise, best practice quản trị bảo mật, GW vs M365. Mua đi kèm: business hosting + cloudphone tổng đài cho firm.