iGuide logo
Se connecter|Registre

SÉCURITÉ DE L'INFORMATION SUR L'IGUIDE. PLATE-FORME E-COMMERCE

1. Objectifs

iGuide.ai utilise des mesures techniques et organisationnelles pour:

  • Assurer la sûreté, l'intégrité et la sécurité des données de l'utilisateur et du fournisseur de services (PSP) sur l'iGuide. ai plate-forme de commerce électronique;
  • Prévenir et réduire au minimum le risque d'accès non autorisé, d'utilisation abusive, de divulgation non autorisée, de perte, d'emplacement erroné, de modification ou de destruction des données;
  • Respecter les lois et règlements vietnamiens concernant la sécurité de l'information, la cybersécurité et la protection des données personnelles.

2. Principes de sécurité

Sécurité des informations sur l'iGuide. ai plate-forme est mise en œuvre selon les principes suivants:

  • Minimiser les données :Les données ne seront collectées et stockées que dans la mesure nécessaire pour fournir des services, remplir les obligations contractuelles et se conformer aux règlements juridiques;
  • Restreindre l'accès et veiller à ce que l'utilisation soit conforme à l'objectif visé :Les données à caractère personnel et les données sur les transactions ne sont accessibles que par des personnes ou des ministères autorisés à des fins qui ont été divulguées et/ou exigées par la loi;
  • Protection par des mesures techniques et organisationnelles appropriées.Appliquer une combinaison de mesures techniques, opérationnelles et de gouvernance interne pour protéger l'information tout au long du cycle de vie du traitement des données;
  • Examen et amélioration périodiquesÉvaluer, examiner et mettre à niveau régulièrement les mesures de sécurité nécessaires pour répondre aux changements technologiques, aux modèles d'exploitation et aux exigences légales.

3. Mesures techniques de protection de l'information

3.1 Sécurité pendant la transmission et le stockage des données

  • Toutes les transmissions de données entre l'appareil Utilisateur/Credential et l'iGuide. le système ai est effectué par un protocole sécurisé (HTTPS/TLS) pour chiffrer le contenu échangé pendant la transmission;
  • Les mots de passe des comptes utilisateurs et fournisseurs sont chiffrés/masqués à l'aide d'algorithmes appropriés avant d'être stockés dans le système;
  • En fonction de la nature des données, iGuide.ai applique des mesures de cryptage, d'anonymisation ou de spoofing pour minimiser le risque de fuite de données en cas d'incident;
  • iGuide.aiNous ne stockons pas les données de carte bancaire ou de carte de crédit.de l'Utilisateur. Toutes les transactions de paiement sont effectuées au moyen de passerelles de paiement intermédiaires autorisées qui appliquent des mécanismes de chiffrement et de sécurité conformes aux normes (y compris les normes PCI DSS ou l'équivalent tel que prescrit par la loi et les normes de l'industrie).

3.2 Contrôle d ' accès et infrastructure du système

  • Le système de base de données et les serveurs d'application sont déployés dans un environnement de data center situé au Vietnam, répondant aux normes opérationnelles de sécurité appropriées (p. ex., niveau I ou plus), avec contrôle physique de l'accès et surveillance de la sécurité;
  • Restreindre l'accès direct à la base de données; seuls les comptes techniques autorisés sont autorisés à l'exploiter, sur la base d'un strict contrôle d'accès fondé sur le rôle et du principe du « besoin de connaître/besoin d'utiliser ».
  • Mettre en œuvre des mesures de protection au niveau de l'infrastructure telles que les pare-feu, la séparation du réseau, la configuration sécurisée des systèmes d'exploitation et des logiciels serveurs, et les mises à jour des correctifs de sécurité au besoin;
  • La connexion au système interne est contrôlée par un mécanisme d'authentification des comptes des employés, d'autorisation fonctionnelle et d'enregistrement de l'historique des transactions sur le système d'administration.

3.3 Enregistrement, surveillance et alertes de sécurité

  • Le système iGuide.ai ne stocke les journaux d'accès, les journaux de système et les journaux d'application que dans la mesure nécessaire pour la surveillance, le rapprochement et l'investigation lorsque des anomalies sont détectées.
  • Mettre en place des mécanismes de surveillance de la sécurité et des systèmes d'alerte pour un accès inhabituel, dépasser les seuils pour les tentatives de connexion ratées et détecter les activités suspectes telles que les attaques ou l'exploitation de la vulnérabilité.
  • Les registres du système sont conservés pendant une période raisonnable, conformément aux exigences légales et aux besoins opérationnels, puis supprimés, entreposés à froid ou anonymisés lorsque ce n'est plus nécessaire.

3.4. Sauvegarde, récupération et continuité des données

  • Effectuer des sauvegardes automatiques/périodiques de données pour les composants critiques du système (bases de données, configurations du système, code source au besoin) afin d'assurer la récupération en cas de défaillance;
  • Les données de sauvegarde sont stockées en toute sécurité, avec accès contrôlé, et subissent des tests de récupération réguliers selon les procédures internes.
  • Élaborer des plans d'urgence et des plans de reprise après sinistre (PRD/PCA) adaptés à l'échelle et à la nature des opérations de la Bourse afin de minimiser les temps d'arrêt en cas d'incident.

3.5. Paiement et information financière

  • Les opérations de paiement en ligne sont effectuées par l ' intermédiaire de passerelles de paiement agréées par les autorités compétentes;
  • Les informations de paiement sensibles (numéro de carte, code CVV, NIP, etc.) ne sont pas stockées sur iGuide. système de l'ai; les partenaires de paiement sont responsables de l'application des normes de sécurité de l'information sur les cartes (p. ex., SSD PCI) et des règlements juridiques pertinents;
  • iGuide.ai conserve uniquement les informations essentielles sur les transactions (p. ex. code de transaction, état, mode de paiement, valeur de commande) à des fins de rapprochement, de comptabilité et de droit.

4. Mesures d'organisation et de gestion pour la sécurité.

4.1 Règlement interne sur la confidentialité et délégation des responsabilités

  • iGuide.ai traite, maintient et actualise les règlements et procédures internes en matière de sécurité de l'information, de protection des données personnelles, de gestion de l'accès au système et de gestion des incidents de sécurité;
  • Définir clairement les responsabilités et les pouvoirs des services concernés (techniques, opérations, service à la clientèle, juridiques, etc.) en matière de réception, de traitement et de protection de l'information;
  • Tout le personnel ayant accès aux données de l'utilisateur/de la créance doit respecter un accord de confidentialité et ne pas divulguer ou utiliser les données à des fins autres que celles qui lui sont assignées.

4.2 Formation et sensibilisation à la sécurité de l ' information

  • Organiser ou intégrer régulièrement des formations et des conseils sur la sécurité de l'information, la protection des données personnelles et la reconnaissance des attaques d'hameçonnage (phishing, ingénierie sociale, etc.) pour le personnel interne;
  • Mise à jour et diffusion en temps opportun de nouvelles réglementations, normes et recommandations juridiques sur la sécurité de l'information liées aux opérations des plateformes de commerce électronique.

4.3 Gestion des fournisseurs de services d'infrastructure, des partenaires et des fournisseurs.

  • Cela comprend des obligations contraignantes en matière de sécurité des données et de protection de l'information de l'utilisateur et du fournisseur dans les contrats/partenariats avec:
    • Partenaires fournissant une infrastructure technique (centres de données, calcul en nuage, etc.);
    • Les partenaires fournissant des services de paiement, un soutien technique ou des services opérationnels liés au traitement des données;
    • Les voyageurs et les fournisseurs de services connexes peuvent accéder aux données de l'utilisateur transmises par iGuide. • pour la fourniture de services.
  • Exiger des tiers qu'ils respectent les normes de sécurité appropriées et ne traitent que les données aux fins et à la portée permises par iGuide. ai ou comme l'exige la loi.

5. Traitement des incidents liés à la sécurité de l'information

5.1 Réception et évaluation des incidents

Lors de la détection ou de la suspicion d'une fuite, d'une perte, d'un accès non autorisé ou d'une cyberattaque liée aux données de l'iGuide. Nous allons:

  • Recueillir l'information initiale des systèmes de surveillance, des commentaires des utilisateurs/fournisseurs ou des rapports des partenaires;
  • Évaluer le niveau d'impact et la portée de l'influence (type de données, nombre de documents, parties liées).

5.2 Isolation et dépannage

Sur la base des évaluations initiales, iGuide. ai procédera d'urgence:

  • Mettre en œuvre les mesures techniques nécessaires pour isoler la source de l'incident, en empêchant tout accès non autorisé ou toute propagation de l'attaque;
  • Collaborer avec les partenaires de l'infrastructure, les partenaires de paiement et les intervenants pour étudier la cause fondamentale et rétablir le système dans un état de sécurité;
  • Fixer, corriger, ajuster les configurations ou mettre en place des mesures de sécurité supplémentaires (si nécessaire) pour limiter la probabilité de récurrence.

5.3. Aviser les utilisateurs et les organismes gouvernementaux compétents

  • Lorsque la loi l'exige ou le juge nécessaire pour protéger les droits légitimes des utilisateurs/fournisseurs, iGuide. ai informera les parties concernées de l'incident de sécurité, de son impact et recommandera des mesures d'autoprotection (p. ex. changement de mot de passe, examen des transactions, etc.);
  • La notification et la notification aux autorités compétentes de l'État (si obligatoire) seront effectuées conformément aux procédures, formalités et délais prévus par la législation en vigueur.

5.4 Examiner et prévenir les récidives

Une fois le problème résolu, iGuide. ai sera:

  • Examiner et réévaluer les systèmes et processus techniques internes pertinents;
  • Consigner et résumer les leçons apprises, mettre à jour les politiques et procédures et renforcer les mesures techniques et organisationnelles pour prévenir des incidents semblables à l'avenir.

Cette politique fait partie de l'iGuide. les règlements d'exploitation de la plate-forme de commerce électronique et peuvent être revus et mis à jour périodiquement pour se conformer aux exigences légales et aux réalités opérationnelles. Toute modification ou ajout (le cas échéant) sera annoncé publiquement sur l'iGuide. En ce qui concerne le système d'information, il convient de noter que le système est conforme aux règlements.