Bảo mật
Bảo mật
Chúng tôi xây dựng EasyAnnounce với mục tiêu bảo mật, dựa trên các phương pháp và công nghệ mới nhất.
Phiên bản tiếng Anh của trang này là phiên bản chính thức về các thực hành bảo mật của chúng tôi. Mọi bản dịch chỉ mang tính tham khảo.
Giới thiệu
Các tuyên bố trên trang này mô tả tình hình bảo mật của chúng tôi và nhằm cho thấy chúng tôi xem trọng bảo mật.
Kỳ vọng
Chúng tôi hướng tới việc đáp ứng các kỳ vọng của bạn về yêu cầu bảo mật. Tuy nhiên, nếu bạn có nhu cầu cao hơn, vui lòng liên hệ để trao đổi về mốc thời gian hoặc các điều chỉnh có thể thực hiện.
Công bố lỗ hổng có trách nhiệm
Chúng tôi hoan nghênh và trân trọng các chuyên gia công bố mọi lỗ hổng của nền tảng; tuy nhiên hiện không có chương trình bug bounty. Chúng tôi sẽ cố gắng khắc phục các vấn đề được phát hiện và nếu được công bố, chúng tôi sẽ ghi nhận công lao của bạn.
Tất cả yêu cầu giữa trình duyệt web hoặc ứng dụng của bạn, website của chúng tôi, cổng API, máy chủ xử lý và các nhà cung cấp bên thứ ba đáng tin cậy đều được mã hóa khi truyền tải qua HTTPS bằng các bộ mã mạnh (AES-256) và chữ ký chứng chỉ (RSA hoặc ECDSA) với SHA-256 hoặc mạnh hơn. Chúng tôi chỉ hỗ trợ kết nối TLS1.2+.
CDN riêng và cơ sở dữ liệu của chúng tôi đều được mã hóa khi truyền tải và khi lưu trữ, đồng thời tuân thủ SOC2 Type 2 và HIPAA. Chúng tôi không lưu bất kỳ tên khách hàng hay thông tin nào trong các yêu cầu thông báo đó sau vòng đời của thông báo hoặc tra cứu tên.
Cơ sở dữ liệu chúng tôi dùng cho web app sử dụng Bảo mật cấp hàng (RLS) để hỗ trợ các yêu cầu Enterprise về tách biệt dữ liệu. Mã tổ chức luôn được băm trước khi sử dụng bên ngoài cơ sở dữ liệu này (ví dụ: để thực thi hạn mức và quản lý cổng API).
Các dịch vụ frontend và backend của chúng tôi đều được bảo vệ bằng tường lửa ứng dụng web chuyên dụng, chỉ cấp quyền truy cập cần thiết và có các quy tắc hạn chế gián đoạn do bot và tấn công DDoS
Chúng tôi dùng Stripe để xử lý thanh toán và quản lý gói đăng ký của bạn. Chúng tôi không lưu trữ hay xử lý bất kỳ dữ liệu thẻ thanh toán nào của bạn. Chúng tôi là đơn vị bán hàng thuộc nhóm PCI DSS SAQ A.
Để đáp ứng các nghĩa vụ merchant PCI-DSS (SAQ-A) dự kiến, chúng tôi thực hiện quét hàng quý đối với website frontend. Chúng tôi hướng tới việc khắc phục mọi vấn đề được phát hiện trong vòng 48 giờ.
Chúng tôi thường xuyên kiểm tra và áp dụng các bản cập nhật phần mềm quan trọng cho máy chủ API backend và website; việc vá lỗi không quan trọng sẽ được thực hiện cùng với các cập nhật phát triển và hiệu năng thông thường.
Chúng tôi giám sát các CVE ảnh hưởng đến mã phần mềm của chúng tôi trên nền tảng API và frontend, và hướng tới xử lý các bản sửa lỗi quan trọng (CVE >9.0) trong vòng 48 giờ kể từ khi được thông báo.
Tất cả hệ thống quản trị của chúng tôi đều yêu cầu MFA và mỗi thành viên trong nhóm phải có một tài khoản riêng để truy cập.
Chúng tôi lựa chọn các nhà cung cấp bên thứ ba dựa trên vị trí và mức độ tuân thủ. Các nhà cung cấp của chúng tôi (cơ sở dữ liệu, trung tâm dữ liệu và nhà cung cấp tạo chuyển văn bản thành giọng nói) đều tuân thủ SOC 2 Type 2, GDPR và HIPAA
Hiện cơ sở dữ liệu của chúng tôi được đặt tại Canada và EU để hỗ trợ các yêu cầu GDPR mà bạn có thể có. Các máy chủ hạ tầng và nhà cung cấp máy chủ web của chúng tôi đều được liệt kê và đang hoạt động trong Khuôn khổ Bảo vệ Dữ liệu EU-Hoa Kỳ.
Chúng tôi là một startup mới và hy vọng bạn có thể thấy rằng chúng tôi đang xây dựng dịch vụ của mình để càng vững chắc và an toàn càng tốt. Nhờ vậy, chúng tôi có thể mở rộng dễ dàng và có thể đáp ứng kỳ vọng của khách hàng và yêu cầu tuân thủ. Chúng tôi hướng tới việc sớm được kiểm toán SOC2 Type 1 — chúng tôi hoan nghênh các bảng câu hỏi bảo mật để có thể trả lời chi tiết hơn cho bạn. Vui lòng liên hệ qua trang liên hệ.
Thông tin liên hệ
Để biết thêm thông tin hoặc gửi yêu cầu tuân thủ, vui lòng liên hệ với chúng tôi qua trang liên hệ.