Bỏ qua menu, vào nội dung chính

← Tin tức · Bảo mật

27/02/2026 · 8 phút đọc

Security audit checklist 30 mục + pentest là gì cho doanh nghiệp

Audit security 12 mục cơ bản đã làm được. Khi cần level chuyên nghiệp hơn, đây là 30 mục comprehensive + giải thích pentest cho non-tech CEO. Bao gồm OWASP Top 10 + Vietnamese context (ND13, e-invoice).

Security auditPentestOWASP

Audit cơ bản vs chuyên sâu

Bài trước (12 mục cơ bản) phù hợp self-check. 30 mục dưới đây cần security professional / external auditor. Phù hợp doanh nghiệp B2B handling sensitive data + e-commerce volume cao.

Authentication (5 mục)

  1. Password policy: > 12 ký tự, hash bcrypt/Argon2, no plain.
  2. 2FA: SMS + TOTP (Google Authenticator). Mandatory cho admin.
  3. Session management: timeout sau 30 phút inactive, regenerate ID after login.
  4. Login attempts: lockout sau 5 fail, captcha sau 3 fail.
  5. Password reset: token unique, expire 1 giờ, single-use.

Authorization (5 mục)

  1. Role-based access control (RBAC).
  2. Principle of least privilege (mỗi user min permissions).
  3. Direct object reference check (user xem URL /order/123 không phải của mình → 403).
  4. API authorization (mỗi API endpoint check permission).
  5. Audit log mọi sensitive action (create order, view financial data).

Data protection (5 mục)

  1. Encryption at rest (TDE cho database).
  2. Encryption in transit (TLS 1.2+, HSTS).
  3. Sensitive data masking (CCCD, credit card show ****1234).
  4. Backup encryption + offsite.
  5. Data retention + deletion policy.

Network / Infrastructure (5 mục)

  1. Firewall + WAF (Cloudflare WAF, AWS WAF).
  2. DDoS protection.
  3. Network segmentation (DMZ, internal VLAN).
  4. VPN cho admin access.
  5. Vulnerability scan định kỳ (Qualys, Nessus).

Application (5 mục)

  1. OWASP Top 10 protection: SQL injection, XSS, CSRF, SSRF...
  2. Input validation tất cả user input.
  3. Output encoding chống XSS.
  4. CSP (Content Security Policy) header.
  5. Rate limiting form + API.

Operational (5 mục)

  1. Patch management — update plugin + framework hằng tháng.
  2. Security training nhân viên hằng năm.
  3. Incident response playbook + drill.
  4. Background check người có access vào production.
  5. Third-party risk management (vendor có access).

Pentest là gì

Penetration testing — ethical hacker (white-hat) thử exploit hệ thống của bạn. Họ tìm vulnerability → report trước attacker thật phát hiện.

3 type:

  • Black box: hacker không có info → simulate external attacker.
  • White box: hacker có code + diagram → comprehensive.
  • Grey box: limited info → balance giữa 2.

Pentest deliverables

  • Executive summary 2-3 trang cho CEO.
  • Technical findings 20-100 trang với severity + remediation.
  • Proof of concept cho mỗi vulnerability.
  • Re-test sau khi fix.

Cost + frequency

  • SME website: 30-80tr/pentest.
  • E-commerce mid: 80-200tr.
  • Enterprise + multiple system: 200-500tr.
  • Frequency: hằng năm + sau major release.

Vietnamese pentest companies

VietSunshine, VNPT-IT, FPT IS, BKAV — các công ty pentest VN uy tín. Quốc tế: HackerOne, Bugcrowd marketplace cho bug bounty alternative.

Doanh nghiệp cần pentest + security audit comprehensive? Alodev hợp tác với 2 công ty bảo mật VN. /lien-he

Cần tư vấn?

Founder phản hồi
trong 24 giờ.