Chính Sách Bảo Mật

An toàn và bảo mật tài sản số của bạn là ưu tiên hàng đầu của chúng tôi.

Tại Asset Việt Nam, chúng tôi nhận thức sâu sắc về tầm quan trọng của việc bảo mật thông tin và tài sản số trong môi trường kinh doanh hiện đại. Chúng tôi cam kết bảo vệ dữ liệu của bạn bằng một hệ thống bảo mật đa lớp, kết hợp các biện pháp kỹ thuật tiên tiến, quy trình quản lý chặt chẽ và tuân thủ các tiêu chuẩn bảo mật hàng đầu.

Chính sách bảo mật này mô tả chi tiết các biện pháp mà chúng tôi áp dụng để bảo vệ thông tin và tài sản số của bạn. Chúng tôi liên tục cập nhật và cải tiến các biện pháp này để đối phó với các mối đe dọa an ninh mạng ngày càng tinh vi.

Các Biện Pháp Bảo Mật Toàn Diện

Asset Việt Nam triển khai một hệ thống bảo mật toàn diện, bao gồm các biện pháp kỹ thuật, vật lý và quy trình, nhằm bảo vệ thông tin và tài sản số của bạn ở mọi cấp độ:

1. Bảo Mật Kỹ Thuật

  • 1.1. Mã hóa (Encryption):
    • Mã hóa dữ liệu truyền tải: Chúng tôi sử dụng giao thức HTTPS với chứng chỉ SSL/TLS 256-bit để mã hóa toàn bộ dữ liệu truyền tải giữa trình duyệt của bạn và máy chủ của chúng tôi, ngăn chặn việc đánh cắp thông tin trên đường truyền.
    • Mã hóa dữ liệu lưu trữ: Dữ liệu nhạy cảm, bao gồm mật khẩu và thông tin tài chính (nếu có), được mã hóa khi lưu trữ bằng thuật toán AES-256, một trong những tiêu chuẩn mã hóa mạnh nhất hiện nay.
    • Quản lý khóa mã hóa: Chúng tôi áp dụng các quy trình quản lý khóa mã hóa nghiêm ngặt để đảm bảo an toàn cho các khóa mã hóa.
  • 1.2. Tường lửa (Firewall):
    • Tường lửa mạng: Hệ thống của chúng tôi được bảo vệ bởi tường lửa thế hệ mới (Next-Generation Firewall - NGFW), có khả năng kiểm soát lưu lượng mạng ra/vào, ngăn chặn các truy cập trái phép và các cuộc tấn công từ bên ngoài.
    • Tường lửa ứng dụng web (Web Application Firewall - WAF): Chúng tôi sử dụng WAF để bảo vệ các ứng dụng web của mình khỏi các cuộc tấn công phổ biến như SQL injection, cross-site scripting (XSS), và các lỗ hổng bảo mật khác.
  • 1.3. Hệ thống phát hiện và ngăn chặn xâm nhập (IDS/IPS):
    • Giám sát liên tục: Hệ thống IDS/IPS của chúng tôi liên tục theo dõi lưu lượng mạng và các hoạt động trên hệ thống để phát hiện các dấu hiệu bất thường có thể là dấu hiệu của một cuộc tấn công.
    • Phản ứng tự động: Khi phát hiện các hoạt động đáng ngờ, hệ thống có thể tự động thực hiện các hành động ngăn chặn, chẳng hạn như chặn địa chỉ IP, ngắt kết nối, hoặc cô lập hệ thống bị ảnh hưởng.
  • 1.4. Xác thực đa yếu tố (Multi-Factor Authentication - MFA):
    • Tăng cường bảo mật tài khoản: Chúng tôi khuyến khích tất cả người dùng kích hoạt MFA để bảo vệ tài khoản của họ. MFA yêu cầu người dùng cung cấp nhiều hơn một yếu tố xác thực (ví dụ: mật khẩu, mã OTP, thiết bị bảo mật) để đăng nhập.
    • Các phương thức MFA: Chúng tôi hỗ trợ nhiều phương thức MFA, bao gồm ứng dụng xác thực (như Google Authenticator, Authy), SMS, email, và khóa bảo mật phần cứng.
  • 1.5. Kiểm tra bảo mật và đánh giá lỗ hổng (Security Audits and Vulnerability Assessments):
    • Kiểm tra định kỳ: Chúng tôi thực hiện kiểm tra bảo mật và đánh giá lỗ hổng định kỳ (ít nhất hàng quý) để xác định và khắc phục các điểm yếu trong hệ thống.
    • Kiểm tra xâm nhập (Penetration Testing): Chúng tôi thuê các chuyên gia bảo mật bên ngoài thực hiện kiểm tra xâm nhập (pentest) định kỳ để đánh giá khả năng phòng thủ của hệ thống trước các cuộc tấn công thực tế.
    • Quét lỗ hổng tự động: Chúng tôi sử dụng các công cụ quét lỗ hổng tự động để liên tục kiểm tra hệ thống và phát hiện các lỗ hổng mới.
  • 1.6. Giám sát an ninh liên tục (24/7 Security Monitoring):
    • Trung tâm điều hành an ninh (Security Operations Center - SOC): Hệ thống của chúng tôi được giám sát 24/7 bởi đội ngũ chuyên gia an ninh mạng tại SOC.
    • Phát hiện và phản ứng: SOC có nhiệm vụ phát hiện, phân tích và phản ứng với các sự cố bảo mật một cách nhanh chóng và hiệu quả.
  • 1.7. Sao lưu và phục hồi dữ liệu (Backup and Disaster Recovery):
    • Sao lưu thường xuyên: Chúng tôi thực hiện sao lưu dữ liệu thường xuyên (hàng ngày, hàng tuần) và lưu trữ các bản sao lưu ở nhiều vị trí địa lý khác nhau, đảm bảo tính sẵn sàng và khả năng phục hồi dữ liệu trong trường hợp xảy ra sự cố.
    • Kế hoạch phục hồi thảm họa (Disaster Recovery Plan - DRP): Chúng tôi có một DRP chi tiết, được kiểm tra định kỳ, để đảm bảo khả năng khôi phục hoạt động kinh doanh trong trường hợp xảy ra thảm họa (ví dụ: hỏa hoạn, lũ lụt, tấn công mạng nghiêm trọng).

2. Bảo Mật Vật Lý

  • 2.1. Trung tâm dữ liệu (Data Center):
    • Tiêu chuẩn Tier 3+: Hệ thống của chúng tôi được đặt tại các trung tâm dữ liệu đạt tiêu chuẩn Tier 3 trở lên, đảm bảo độ tin cậy và khả năng hoạt động liên tục cao.
    • Kiểm soát truy cập vật lý: Trung tâm dữ liệu được bảo vệ bởi hệ thống kiểm soát truy cập vật lý nghiêm ngặt, bao gồm bảo vệ 24/7, hệ thống giám sát video (CCTV), và xác thực sinh trắc học.
    • Bảo vệ chống cháy nổ: Trung tâm dữ liệu được trang bị hệ thống phòng cháy chữa cháy tiên tiến, bao gồm hệ thống phát hiện khói sớm, hệ thống chữa cháy tự động, và các biện pháp phòng ngừa cháy nổ khác.
    • Kiểm soát môi trường: Trung tâm dữ liệu có hệ thống kiểm soát nhiệt độ, độ ẩm, và nguồn điện dự phòng để đảm bảo môi trường hoạt động ổn định cho các thiết bị.
  • 2.2. Bảo mật văn phòng:
    • Kiểm soát ra vào: Văn phòng của chúng tôi được bảo vệ bằng hệ thống kiểm soát ra vào, chỉ những nhân viên được ủy quyền mới có thể ra vào.
    • Giám sát: Chúng tôi có thể sử dụng hệ thống giám sát video để theo dõi hoạt động trong văn phòng.

3. Quy Trình Bảo Mật

  • 3.1. Chính sách bảo mật nội bộ:

    Chúng tôi có các chính sách bảo mật nội bộ chi tiết, bao gồm:

    • Chính sách mật khẩu: Yêu cầu nhân viên sử dụng mật khẩu mạnh, thay đổi mật khẩu thường xuyên, và không chia sẻ mật khẩu.
    • Chính sách truy cập dữ liệu: Quy định rõ ràng về việc ai được phép truy cập vào loại dữ liệu nào, và quy trình phê duyệt truy cập.
    • Chính sách sử dụng thiết bị: Quy định về việc sử dụng máy tính, điện thoại di động, và các thiết bị khác của công ty.
    • Chính sách sử dụng email và Internet:
    • Chính sách bảo mật khi làm việc từ xa:
  • 3.2. Đào tạo nhận thức bảo mật:

    Tất cả nhân viên của chúng tôi được đào tạo về bảo mật thông tin và nhận thức về các mối đe dọa an ninh mạng. Chúng tôi tổ chức các khóa đào tạo định kỳ để cập nhật kiến thức và kỹ năng cho nhân viên.

  • 3.3. Quản lý quyền truy cập:

    Chúng tôi áp dụng nguyên tắc "cần biết" (need-to-know) và "ít đặc quyền nhất" (least privilege) để hạn chế quyền truy cập vào thông tin và hệ thống. Chỉ những nhân viên có vai trò và trách nhiệm phù hợp mới được cấp quyền truy cập vào các tài nguyên cụ thể. Quyền truy cập được xem xét và điều chỉnh thường xuyên.

  • 3.4. Quy trình phản ứng sự cố:

    Chúng tôi có quy trình ứng phó sự cố bảo mật chi tiết và được kiểm tra thường xuyên. Quy trình này bao gồm các bước:

    • Phát hiện: Xác định và báo cáo các sự cố bảo mật.
    • Đánh giá: Phân tích mức độ nghiêm trọng và phạm vi ảnh hưởng của sự cố.
    • Ngăn chặn: Thực hiện các biện pháp để ngăn chặn sự cố lan rộng.
    • Khắc phục: Loại bỏ nguyên nhân gây ra sự cố và khôi phục hệ thống.
    • Rút kinh nghiệm: Đánh giá lại quy trình và cải thiện các biện pháp bảo mật.

4. Tiêu Chuẩn và Tuân Thủ

Asset Việt Nam cam kết tuân thủ các tiêu chuẩn bảo mật quốc tế và các quy định của pháp luật Việt Nam, bao gồm:

  • Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân của Việt Nam.
  • Hướng tới ISO/IEC 27001: Chúng tôi đang nỗ lực hướng tới việc tuân thủ các yêu cầu của tiêu chuẩn ISO/IEC 27001 về Hệ thống Quản lý An toàn Thông tin (ISMS). Mặc dù chúng tôi có thể chưa có chứng chỉ chính thức, chúng tôi áp dụng các biện pháp kiểm soát và quy trình phù hợp với tiêu chuẩn này.
  • Các tiêu chuẩn và hướng dẫn bảo mật khác: Chúng tôi cũng tham khảo và áp dụng các tiêu chuẩn và hướng dẫn bảo mật tốt nhất khác, chẳng hạn như NIST Cybersecurity Framework, OWASP (Open Web Application Security Project) recommendations, và các hướng dẫn từ các tổ chức an ninh mạng uy tín.

5. Quyền Riêng Tư của Trẻ Em

Chúng tôi không cố ý thu thập thông tin từ trẻ vị thành niên (dưới 16 tuổi). Nếu bạn là cha mẹ hoặc người giám hộ và tin rằng con bạn đã cung cấp thông tin cho chúng tôi mà không có sự đồng ý của bạn, vui lòng liên hệ với chúng tôi để chúng tôi xóa thông tin đó.

6. Thay Đổi Chính Sách Bảo Mật

Chúng tôi có thể cập nhật Chính sách Bảo mật này theo thời gian để phản ánh những thay đổi trong hoạt động của chúng tôi, các yêu cầu pháp lý, hoặc các tiêu chuẩn bảo mật. Chúng tôi sẽ thông báo cho bạn về bất kỳ thay đổi quan trọng nào bằng cách đăng thông báo nổi bật trên Trang web hoặc bằng cách gửi email cho bạn (nếu bạn đã cung cấp địa chỉ email). Bạn nên thường xuyên xem lại Chính sách Bảo mật này để cập nhật những thay đổi mới nhất.

7. Báo Cáo Vấn Đề Bảo Mật và Liên Hệ

Nếu bạn có bất kỳ câu hỏi, mối quan ngại hoặc khiếu nại nào liên quan đến Chính sách Bảo mật này, hoặc nếu bạn phát hiện bất kỳ lỗ hổng bảo mật nào, vui lòng liên hệ với chúng tôi ngay lập tức qua:

Chúng tôi đánh giá cao sự hợp tác của bạn trong việc giúp chúng tôi bảo vệ thông tin và tài sản số.