Cập nhật cho năm 2026
Đánh giá bảo mật làm chậm giao dịch doanh nghiệp
Các giao dịch doanh nghiệp thường theo một mô hình nhất định. Nhà cung cấp có tính năng tốt mất nhiều tháng — hoặc mất toàn bộ hợp đồng — do quy trình thẩm định bảo mật nhà cung cấp. Quy trình này có lý do chính đáng. Các nhóm doanh nghiệp chịu trách nhiệm về mọi công cụ tiếp xúc với dữ liệu của họ. Các ngành được quản lý có quy tắc nghiêm ngặt về nhà cung cấp.
Các công ty y tế phải theo dõi cách nhà cung cấp xử lý PHI. Các công ty tài chính phải chứng minh với cơ quan quản lý rằng có các biện pháp bảo vệ. Các nhóm pháp lý phải bảo vệ hồ sơ khách hàng. Việc thẩm định là hợp lý. Nhưng đối với nhà cung cấp không có kiến trúc zero-knowledge, đây là cổng chặn kéo dài hiếm khi di chuyển nhanh.
Những câu hỏi chặn hoặc thúc đẩy giao dịch
Bảng câu hỏi bảo mật doanh nghiệp có từ 100 đến hơn 200 câu hỏi. Hầu hết nhà cung cấp có năng lực đều có thể trả lời phần lớn trong số đó. Lịch vá lỗi, đào tạo nhân viên, ứng phó sự cố — tất cả chỉ cần tài liệu tốt.
Một số ít câu hỏi tạo ra ma sát thực sự cho các nhà cung cấp đám mây không có kiến trúc zero-knowledge. Những câu hỏi này quyết định giao dịch.
"Nhân viên của bạn có thể xem dữ liệu khách hàng không?"
Với nhà cung cấp mã hóa phía máy chủ: có, trong một số trường hợp. Nhân viên hỗ trợ có thể xem hồ sơ để giải quyết sự cố. Lệnh của tòa án có thể buộc tiết lộ dữ liệu. Câu trả lời này gây ra thêm nhiều câu hỏi thẩm định. Thường yêu cầu đánh giá rủi ro.
Với nhà cung cấp zero-knowledge: không. Nhân viên không thể đọc hồ sơ dạng văn bản thuần trong bất kỳ trường hợp nào. Kiến trúc làm cho việc giải mã không thể thực hiện mà không có khóa của khách hàng. Câu trả lời này đóng câu hỏi lại. Quá trình thẩm định tiến lên.
"Vi phạm dữ liệu đầy đủ sẽ tiết lộ gì?"
Với nhà cung cấp mã hóa phía máy chủ: dữ liệu đã mã hóa, có thể cả tài liệu khóa. Người thẩm định đặt thêm câu hỏi. Câu trả lời không rõ ràng.
Với nhà cung cấp zero-knowledge: văn bản mã hóa AES-256-GCM, không có khóa. Vi phạm máy chủ đầy đủ không tiết lộ thông tin gì có thể sử dụng được.
"Bạn có thể giao nộp văn bản thuần theo lệnh tòa án không?"
Với nhà cung cấp mã hóa phía máy chủ: có, trong quy trình pháp lý. Đây là vấn đề trực tiếp với các công ty có hồ sơ nhạy cảm.
Với nhà cung cấp zero-knowledge: chúng tôi chỉ có thể cung cấp văn bản mã hóa. Chúng tôi không có khóa. Không có lệnh tòa án nào có thể buộc chúng tôi giao nộp thứ chúng tôi không có.
Xem chi tiết tại tài liệu tuân thủ pháp lý và trang bảo mật.
Chi tiết tham số Argon2id
Các đợt thẩm định trong các ngành được quản lý yêu cầu tham số mật mã chính xác. Phương pháp dẫn xuất khóa, số lần lặp và yêu cầu bộ nhớ là những câu hỏi phổ biến trong y tế, tài chính và chính phủ. Mỗi chi tiết thiếu sót đều làm chậm quá trình.
Argon2id với 200.000 lần lặp cao gấp 4 lần so với mức tối thiểu OWASP cho dẫn xuất khóa dựa trên mật khẩu. Các câu trả lời cụ thể đẩy nhanh quá trình thẩm định. Câu trả lời mơ hồ — "chúng tôi sử dụng mã hóa tiêu chuẩn" — gây ra yêu cầu tài liệu bổ sung và làm trễ giao dịch.
ISO 27001 và lợi ích chứng nhận
Sự tuân thủ ISO 27001 giải quyết một loại ma sát khác trong các đợt thẩm định. Hơn 100 kiểm soát trong Phụ lục A của ISO 27001:2022 bao gồm các câu hỏi tổ chức trong hầu hết các bảng câu hỏi nhà cung cấp. Kiểm soát truy cập, quản lý khóa, bảo vệ vật lý, xử lý sự cố.
Các công ty yêu cầu ISO 27001 có thể bỏ qua việc kiểm tra từng kiểm soát riêng lẻ. Chứng nhận là bằng chứng. Nó cho thấy các kiểm soát tồn tại và đã được kiểm toán bởi bên thứ ba. Trong mua sắm doanh nghiệp, điều này biến một đợt thẩm định sáu tháng thành xem xét ba đến sáu tuần.
Kiến trúc zero-knowledge cộng với tuân thủ ISO 27001 là gói bán hàng mạnh mẽ. Những câu hỏi khó nhất về bảo vệ dữ liệu có câu trả lời rõ ràng. Các kiểm soát tổ chức được ghi lại. Đối với các giao dịch công cụ bảo mật quyền riêng tư trong thị trường được quản lý, sự kết hợp này mang lại phê duyệt nhanh hơn. Các nhà cung cấp phải xây dựng lập luận từ đầu trong mỗi lần thẩm định phải đối mặt với thời gian chờ lâu hơn và tỷ lệ thất thoát giao dịch cao hơn.
Tính toán mua hàng
Đối với khách hàng doanh nghiệp, thẩm định nhà cung cấp không phải là trở ngại hành chính. Đó là quản lý rủi ro thực sự.
Các câu hỏi nhắm vào các nhà cung cấp có tư thế bảo mật khiến khách hàng phải chịu rủi ro pháp lý.
Đối với các nhà cung cấp trong thị trường được quản lý, thẩm định vừa là trung tâm chi phí vừa là tín hiệu chất lượng.
Các nhà cung cấp trả lời rõ ràng những câu hỏi khó nhất có ít chu kỳ bán hàng kéo dài hơn.
Những người gặp khó khăn với quản lý khóa phía máy chủ phải đối mặt với thời gian thẩm định dài hơn và tỷ lệ thất thoát giao dịch cao hơn.
Lợi thế bảo vệ của kiến trúc zero-knowledge có thể đo lường được.
Các câu hỏi lọc ra các nhà cung cấp có khóa phía máy chủ là những câu hỏi mà nhà cung cấp zero-knowledge trả lời rõ ràng ngay từ lần nộp đầu tiên.
Đây không phải là tuyên bố tiếp thị. Đây là kết quả mua sắm thực tế, có thể đo lường được với hồ sơ bằng văn bản.
Xem thêm tại trung tâm FAQ và khám phá cách hoạt động của nhận diện thực thể từ đầu đến cuối.