Vấn đề mà hầu như không ai nhìn thấy
Một luật sư nhận được tài liệu nhạy cảm từ khách hàng. Một bác sĩ thảo luận về chẩn đoán với đồng nghiệp. Một nhà tâm lý học phối hợp với bác sĩ tâm thần về việc điều trị cho bệnh nhân. Một tư vấn thuế gửi các dữ liệu khai thuế. Tất cả đều thực hiện qua tin nhắn. Và hầu như không ai dừng lại một chút để suy nghĩ xem những tin nhắn đó rốt cuộc nằm ở đâu.
Câu trả lời, trong hầu hết các trường hợp, là: trên một máy chủ mà họ không kiểm soát, tại một quốc gia mà họ không biết luật pháp của nước đó, được quản lý bởi một công ty mà mô hình kinh doanh chính là tích lũy dữ liệu. Tin nhắn có thể được mã hóa khi đang truyền tải, nhưng một khi đã đến máy chủ, nó là một bản sao được lưu trữ trong cơ sở hạ tầng của bên thứ ba.
Luật pháp nói gì
GDPR của Châu Âu rất rõ ràng: bất kỳ ai xử lý dữ liệu cá nhân của bên thứ ba đều có trách nhiệm bảo vệ chúng bằng các biện pháp kỹ thuật phù hợp. Ý định tốt là không đủ. Không đủ nếu chỉ có ứng dụng nói rằng nó mã hóa. Nếu dữ liệu của khách hàng bạn nằm trên một máy chủ không tuân thủ các quy định của Châu Âu, bạn chính là người chịu trách nhiệm.
Và không chỉ có GDPR. Bí mật nghề nghiệp — được quy định cho luật sư, bác sĩ, nhà tâm lý học, kiểm toán viên và nhiều người khác — yêu cầu việc liên lạc với khách hàng phải được giữ bí mật. Không phải là bí mật "trong chừng mực có thể". Mà là bí mật thực sự. Nếu kênh bạn sử dụng không thể đảm bảo điều đó về mặt kỹ thuật, bạn đang chấp nhận một rủi ro mà bạn không nên chấp nhận.
Một chuyên gia cần gì?
Những gì một chuyên gia xử lý thông tin nhạy cảm cần thực sự rất đơn giản. Họ cần một kênh mà tin nhắn đi trực tiếp từ thiết bị của họ đến thiết bị của người nhận, không qua bất kỳ máy chủ trung gian nào. Nơi không có bản sao nào được lưu lại trên bất kỳ đám mây nào. Nơi không cần phải cung cấp số điện thoại cá nhân. Và nơi cơ sở hạ tầng tuân thủ đầy đủ các quy định của Châu Âu.
Họ không cần một ứng dụng phức tạp. Không cần đào tạo. Không cần thay đổi cách làm việc. Họ cần chính xác những gì họ đã sử dụng — tin nhắn tức thời — nhưng với sự đảm bảo về mặt kỹ thuật rằng thông tin không rời khỏi thiết bị của hai người tham gia cuộc trò chuyện.
Sự khác biệt giữa mã hóa và không lưu trữ
Mã hóa một tin nhắn và lưu nó trên máy chủ giống như việc bỏ một tài liệu vào két sắt và để nó ở nhà một người lạ. Két sắt đó tốt, đúng vậy. Nhưng tài liệu đó vẫn nằm ở nhà người khác. Và người đó có thể nhận được lệnh của tòa án, có thể bị tấn công mạng, hoặc có thể đơn giản là thay đổi các điều khoản dịch vụ của họ.
Giải pháp thay thế là tài liệu đó không bao giờ rời khỏi văn phòng của bạn. Nó đi trực tiếp từ bàn của bạn đến bàn của khách hàng, không qua bất kỳ trung gian nào. Đó là những gì liên lạc trực tiếp giữa các thiết bị thực hiện: loại bỏ trung gian. Không phải vì trung gian đó xấu. Mà vì trung gian đó là không cần thiết. Và những gì không cần thiết, trong bảo mật, luôn là một rủi ro.
Một vấn đề về trách nhiệm
Cuối cùng, câu hỏi mà mọi chuyên gia nên tự đặt ra là: nếu ngày mai một cuộc trò chuyện với khách hàng của tôi bị rò rỉ, tôi có thể chứng minh rằng mình đã sử dụng một kênh an toàn về mặt kỹ thuật không? Tôi có thể chứng minh rằng dữ liệu không bao giờ rời khỏi thiết bị của chúng tôi không? Tôi có thể chứng minh rằng mình không phụ thuộc vào thiện chí của một công ty từ một châu lục khác không?
Công cụ bạn chọn để liên lạc với khách hàng nói lên nhiều điều về cách bạn trân trọng sự tin tưởng của họ. Và có những công cụ được thiết kế chính xác cho việc đó: để sự tin tưởng không phụ thuộc vào lời hứa, mà phụ thuộc vào kiến trúc hệ thống.