Chính sách Bảo mật Hệ thống

Hệ thống bảo mật đa lớp: • Mã hóa end-to-end cho dữ liệu nhạy cảm • Xác thực đa yếu tố (2FA) tùy chọn • Giám sát an ninh 24/7 • Kiểm tra bảo mật và penetration testing định kỳ • Đội ngũ security chuyên trách Hạ tầng: • Google Cloud Platform (GCP Singapore) • FPT Smart Cloud (Việt Nam) • Tuân thủ tiêu chuẩn ISO/IEC 27001:2022

Dữ liệu truyền tải (encrypt-in-transit): • TLS 1.3/HTTPS cho tất cả kết nối • Certificate pinning cho mobile apps • HSTS (HTTP Strict Transport Security) Dữ liệu lưu trữ (encrypt-at-rest): • AES-256-GCM encryption • Key rotation định kỳ • Mật khẩu được hash với bcrypt + salt Mật khẩu đăng nhập được bảo vệ thêm bằng mã hóa end-to-end encryption.

Tuân thủ tiêu chuẩn PCI DSS: • Tokenization - KHÔNG lưu số thẻ tín dụng • 3D Secure 2.0 cho giao dịch thẻ quốc tế • Fraud detection real-time • Secure payment gateway (SePay, Polar) Chúng tôi KHÔNG lưu trữ thông tin thẻ tín dụng. Mọi giao dịch được xử lý qua payment gateway được chứng nhận PCI DSS. VietQR: Thanh toán qua mã QR ngân hàng Việt Nam, xử lý trực tiếp bởi SePay.

Nguyên tắc Least Privilege: • Role-based Access Control (RBAC) • Single Sign-On (SSO) với Google, Apple ID • Tích hợp SAML 2.0 cho enterprise • Session management an toàn với timeout tự động • IP whitelisting (tùy chọn cho enterprise) • Audit log đầy đủ mọi thao tác Tính năng bảo mật tài khoản: • Xác thực 2 lớp (2FA) với authenticator app • Giới hạn truy cập theo dải IP • Thông báo đăng nhập từ thiết bị mới

Giám sát liên tục: • Security Information and Event Management (SIEM) • Intrusion Detection System (IDS) • DDoS protection (Cloudflare) • Vulnerability scanning định kỳ • Penetration testing hàng quý Ghi log: • Audit trail đầy đủ mọi thao tác • Log retention theo quy định pháp luật • Anomaly detection tự động

Quy trình incident response: 1. Phát hiện và phân loại sự cố 2. Cách ly và ngăn chặn lan rộng 3. Điều tra nguyên nhân và khắc phục 4. Thông báo khách hàng (trong 72h nếu có ảnh hưởng đến dữ liệu) 5. Post-mortem và cải thiện quy trình Cam kết: Thông báo sự cố bảo mật trong thời gian sớm nhất có thể và phối hợp với cơ quan chức năng theo quy định pháp luật. Hotline bảo mật 24/7: +84 88 9615586

Phát hiện lỗ hổng bảo mật? Email: [email protected] Hotline: +84 88 9615586 Chương trình Responsible Disclosure: • Báo cáo lỗ hổng bảo mật hợp lệ sẽ được ghi nhận • Không truy tố pháp lý đối với researcher thiện chí • Thời gian phản hồi: 48 giờ làm việc Vui lòng KHÔNG công bố lỗ hổng trước khi được xác nhận đã khắc phục.