Dưới đây là hướng dẫn cấp phép bản quyền phần mềm cho doanh nghiệp, theo hướng quản trị rủi ro, kiểm soát chi phí và tuân thủ pháp lý.
1. Hiểu đúng “bản quyền phần mềm” trong doanh nghiệp
Phần mềm là đối tượng được bảo hộ quyền tác giả theo Luật Sở hữu trí tuệ Việt Nam; việc doanh nghiệp cài đặt, sao chép, phân phối nội bộ hoặc sử dụng vượt phạm vi giấy phép có thể tạo rủi ro vi phạm bản quyền. Văn bản hợp nhất Luật Sở hữu trí tuệ mới nhất được Cổng Thông tin điện tử Chính phủ công bố là Văn bản hợp nhất số 155/VBHN-VPQH.
Với doanh nghiệp, “có bản quyền” không chỉ là đã mua phần mềm, mà là sử dụng đúng điều khoản cấp phép: đúng số lượng người dùng, thiết bị, máy chủ, môi trường triển khai, thời hạn, khu vực, mục đích sử dụng và quyền chuyển nhượng (nếu có).
2. Các mô hình cấp phép phổ biến
Theo người dùng: mỗi nhân viên cần một license riêng. Thường gặp ở Microsoft 365, Adobe, Google Workspace, CRM, ERP.
Theo thiết bị: license gắn với máy tính, máy POS, máy trạm hoặc máy chủ.
Theo số lượng đồng thời: doanh nghiệp mua số phiên sử dụng đồng thời, ví dụ 20 người có thể dùng nhưng chỉ 5 người được đăng nhập cùng lúc ví dụ Teamviewer, Anydesk (tính theo concurrent connection)
Theo thuê bao: trả phí theo tháng hoặc năm; cần quản lý gia hạn, hủy license không dùng và thay đổi gói.
Theo vĩnh viễn: mua một lần, thường vẫn cần trả thêm phí bảo trì, nâng cấp hoặc hỗ trợ.
Theo máy chủ, core, CPU hoặc VM: thường gặp với database, hệ điều hành máy chủ, phần mềm ảo hóa, phần mềm kỹ thuật.
Theo dung lượng, giao dịch hoặc API: phổ biến với SaaS, cloud, AI, phân tích dữ liệu.
Mã nguồn mở: không có nghĩa là “muốn dùng thế nào cũng được”. Cần kiểm tra giấy phép như MIT, Apache 2.0, GPL, AGPL, LGPL, đặc biệt khi doanh nghiệp phân phối sản phẩm có chứa mã nguồn mở.
3. Quy trình cấp phép phần mềm cho doanh nghiệp
Bước 1: Lập danh mục phần mềm
Tạo danh sách toàn bộ phần mềm đang sử dụng:
| Nhóm thông tin | Nội dung cần ghi |
|---|---|
| Tên phần mềm | Ví dụ: Microsoft 365, AutoCAD, SAP, Jira |
| Nhà cung cấp | Microsoft, Autodesk, Atlassian, Oracle… |
| Người dùng/phòng ban | Ai đang dùng, dùng cho việc gì |
| Loại license | User, device, concurrent, subscription… |
| Số lượng đã mua | Theo hợp đồng, hóa đơn hoặc portal |
| Số lượng đang dùng | Theo thực tế cài đặt/đăng nhập |
| Ngày hết hạn | Đặc biệt với SaaS và maintenance |
| Chủ sở hữu ngân sách | IT, Finance, phòng ban nghiệp vụ |
| Bằng chứng bản quyền | Hợp đồng, invoice, certificate, email xác nhận |
Bước 2: Đối chiếu sử dụng thực tế với quyền được cấp
So sánh:
Số lượng license đã mua
so với
số lượng người dùng, thiết bị, máy chủ hoặc instance thực tế
Các rủi ro thường gặp là nhân viên cũ vẫn giữ license SaaS, phần mềm được cài vượt số máy, dùng license cá nhân cho mục đích doanh nghiệp, dùng bản education/home trong môi trường thương mại, hoặc triển khai phần mềm on-premise lên cloud nhưng license không cho phép.
Bước 3: Phân loại rủi ro
Nên chia thành 4 nhóm:
| Mức rủi ro | Ví dụ |
|---|---|
| Cao | Không có bằng chứng mua, dùng crack/keygen, vượt license server/database |
| Trung bình | Có mua nhưng thiếu hồ sơ, dùng sai phiên bản/gói |
| Thấp | License dư thừa, chưa tối ưu chi phí |
| Cần rà soát pháp lý | Mã nguồn mở GPL/AGPL trong sản phẩm thương mại |
BSA nhấn mạnh rằng quản trị tài sản phần mềm tốt giúp giảm rủi ro bảo mật từ phần mềm không có bản quyền và tối ưu đầu tư CNTT.
Bước 4: Chuẩn hóa chính sách mua và phê duyệt
Doanh nghiệp nên ban hành chính sách nội bộ:
Không cho phép nhân viên tự ý cài phần mềm trả phí, extension, plugin hoặc công cụ AI bằng tài khoản cá nhân nếu dùng cho dữ liệu công ty.
Mọi phần mềm mới cần được phê duyệt bởi IT, tài chính và pháp chế nếu có rủi ro dữ liệu, bản quyền hoặc bảo mật.
Chỉ mua qua nhà cung cấp chính thức, đại lý được ủy quyền hoặc marketplace đáng tin cậy.
Hợp đồng cần nêu rõ số lượng license, phạm vi sử dụng, quyền audit, điều khoản chấm dứt, xử lý dữ liệu, hỗ trợ kỹ thuật, SLA và điều kiện gia hạn.
Bước 5: Quản lý vòng đời license
Một quy trình tốt nên bao gồm:
Onboarding: cấp license theo vai trò công việc, không cấp tràn lan.
Thay đổi vị trí: điều chỉnh license khi nhân viên chuyển phòng ban.
Offboarding: thu hồi license ngay khi nhân viên nghỉ việc.
Gia hạn: rà soát trước khi renew, loại bỏ license không dùng.
Audit định kỳ: ít nhất mỗi quý hoặc mỗi 6 tháng.
Microsoft cũng mô tả Software Asset Management là tập hợp quy trình và công cụ giúp doanh nghiệp quản lý, bảo vệ và tối ưu tài sản CNTT.
4. Hồ sơ cần lưu để chứng minh bản quyền
Doanh nghiệp nên lưu tập trung:
| Tài liệu | Mục đích |
|---|---|
| Hợp đồng mua phần mềm | Chứng minh quyền sử dụng |
| Hóa đơn, chứng từ thanh toán | Chứng minh giao dịch hợp lệ |
| Certificate/license key | Chứng minh license |
| Email xác nhận từ vendor | Hỗ trợ kiểm toán |
| Điều khoản EULA/ToS tại thời điểm mua | Xác định phạm vi sử dụng |
| Danh sách người dùng/thiết bị | Đối chiếu khi audit |
| Biên bản nghiệm thu/bàn giao | Hữu ích với dự án phần mềm |
| Chính sách nội bộ | Chứng minh doanh nghiệp có kiểm soát |
5. Lưu ý riêng với phần mềm SaaS và cloud
Với SaaS, rủi ro không chỉ là thiếu license mà còn là dữ liệu và quyền truy cập. Cần kiểm tra:
Dữ liệu lưu ở đâu, ai có quyền truy cập, có mã hóa không, có xuất dữ liệu khi chấm dứt hợp đồng không, điều khoản xử lý dữ liệu cá nhân, quyền sử dụng dữ liệu để huấn luyện AI, SLA, backup, logging và khả năng xóa dữ liệu.
Với cloud, cần đặc biệt chú ý license database, Windows Server, SQL Server, Oracle, VMware, Red Hat, phần mềm backup, monitoring và security tools vì mô hình tính phí có thể dựa trên core, socket, VM, cluster hoặc môi trường disaster recovery.
6. Lưu ý với mã nguồn mở
Doanh nghiệp nên có chính sách Open Source Compliance:
Phân biệt thư viện nội bộ và thư viện phân phối ra ngoài.
Kiểm tra license trước khi đưa vào sản phẩm.
Tránh dùng AGPL/GPL trong sản phẩm thương mại nếu doanh nghiệp chưa hiểu nghĩa vụ công bố mã nguồn.
Lưu Software Bill of Materials, tức SBOM, cho sản phẩm phần mềm.
Yêu cầu nhà thầu bàn giao danh sách thư viện mã nguồn mở đã sử dụng.
7. Kiểm toán phần mềm nội bộ
Một cuộc kiểm toán nên gồm:
- Quét phần mềm đã cài trên máy trạm, server và cloud.
- Trích xuất người dùng SaaS từ admin portal.
- Đối chiếu với hợp đồng và hóa đơn.
- Xác định thiếu, dư hoặc dùng sai license.
- Lập kế hoạch khắc phục.
- Ban hành quy trình phòng ngừa tái diễn.
Doanh nghiệp lớn có thể áp dụng chuẩn quản trị tài sản CNTT/phần mềm theo họ ISO/IEC 19770; ISO/IEC 19770-5 cung cấp tổng quan và thuật ngữ về quản trị tài sản phần mềm.
8. Checklist nhanh cho doanh nghiệp
| Câu hỏi | Đạt/Chưa |
|---|---|
| Có danh mục toàn bộ phần mềm đang dùng chưa? | |
| Có lưu hợp đồng, hóa đơn, license key tập trung chưa? | |
| Có biết phần mềm nào sắp hết hạn trong 90 ngày tới không? | |
| Có thu hồi license khi nhân viên nghỉ việc không? | |
| Có cấm crack/keygen/phần mềm lậu trong chính sách IT không? | |
| Có quy trình phê duyệt phần mềm mới không? | |
| Có rà soát license server, database, cloud không? | |
| Có kiểm tra mã nguồn mở trong sản phẩm không? | |
| Có thực hiện audit định kỳ không? | |
| Có người chịu trách nhiệm chính về Software Asset Management không? |
9. Mẫu chính sách nội bộ ngắn
Doanh nghiệp có thể dùng khung sau:
Tất cả phần mềm sử dụng trên thiết bị, hệ thống, máy chủ, dịch vụ cloud và tài khoản doanh nghiệp phải được mua, cấp phép hoặc phê duyệt hợp lệ. Nhân viên không được tự ý cài đặt, sao chép, chia sẻ license, sử dụng phần mềm bẻ khóa, keygen, tài khoản cá nhân hoặc phần mềm vượt quá phạm vi giấy phép. Bộ phận IT chịu trách nhiệm quản lý danh mục phần mềm, cấp phát, thu hồi, rà soát định kỳ và lưu trữ bằng chứng bản quyền. Mọi phần mềm mới phải được phê duyệt trước khi sử dụng.
10. Khuyến nghị triển khai theo quy mô
Doanh nghiệp nhỏ: dùng bảng quản lý license, lưu chứng từ trên Google Drive/SharePoint, rà soát mỗi quý.
Doanh nghiệp vừa: dùng công cụ quản lý thiết bị như Intune, Jamf, ManageEngine, Lansweeper hoặc Snipe-IT; phân quyền mua phần mềm qua IT.
Doanh nghiệp lớn: triển khai Software Asset Management chính thức, tích hợp ITSM, CMDB, MDM, SSO, procurement và finance; có quy trình audit vendor và open-source compliance
Điểm quan trọng nhất: đừng chỉ hỏi “đã mua chưa”, mà phải hỏi “đang sử dụng có đúng quyền được cấp phép không?”.
