BẢO MẬT THÔNG TIN TRÊN SÀN GIAO DỊCH THƯƠNG MẠI ĐIỆN TỬ IGUIDE.AI
1. Mục tiêu
iGuide.ai áp dụng các biện pháp kỹ thuật và tổ chức nhằm:
- Bảo đảm an toàn, tính toàn vẹn và tính bảo mật đối với dữ liệu của Người dùng và Nhà cung cấp dịch vụ (NCC) trên Sàn giao dịch TMĐT iGuide.ai;
- Ngăn ngừa, hạn chế tối đa nguy cơ truy cập trái phép, sử dụng sai mục đích, tiết lộ trái phép, mất mát, thất lạc, thay đổi hoặc phá hủy dữ liệu;
- Tuân thủ quy định pháp luật Việt Nam về an toàn thông tin mạng, an ninh mạng và bảo vệ dữ liệu cá nhân.
2. Nguyên tắc bảo mật
Việc bảo mật thông tin trên Sàn iGuide.ai được thực hiện theo các nguyên tắc sau:
- Tối thiểu hóa dữ liệu: Chỉ thu thập và lưu trữ dữ liệu ở mức cần thiết để cung cấp dịch vụ, thực hiện nghĩa vụ hợp đồng và tuân thủ quy định pháp luật;
- Hạn chế truy cập và sử dụng đúng mục đích: Dữ liệu cá nhân và dữ liệu giao dịch chỉ được truy cập bởi các cá nhân/bộ phận có thẩm quyền, phục vụ cho các mục đích đã được thông báo và/hoặc theo yêu cầu của pháp luật;
- Bảo vệ bằng biện pháp kỹ thuật và tổ chức phù hợp: Áp dụng kết hợp các biện pháp kỹ thuật, vận hành và quản trị nội bộ để bảo vệ thông tin trong suốt vòng đời xử lý dữ liệu;
- Rà soát, cải tiến định kỳ: Thường xuyên đánh giá, rà soát và khi cần thiết sẽ nâng cấp, điều chỉnh các biện pháp bảo mật nhằm đáp ứng sự thay đổi của công nghệ, mô hình hoạt động và yêu cầu pháp lý.
3. Biện pháp kỹ thuật bảo vệ thông tin
3.1. Bảo mật trong quá trình truyền và lưu trữ dữ liệu
- Toàn bộ việc truyền dữ liệu giữa thiết bị của Người dùng/NCC và hệ thống iGuide.ai được thực hiện thông qua giao thức an toàn (HTTPS/TLS) để mã hóa nội dung trao đổi trên đường truyền;
- Mật khẩu tài khoản của Người dùng và NCC được mã hóa/băm (hash) bằng các thuật toán phù hợp trước khi lưu trữ trong hệ thống;
- Tùy theo tính chất dữ liệu, iGuide.ai áp dụng biện pháp mã hóa, ẩn danh hoặc giả danh dữ liệu ở mức độ cần thiết nhằm giảm thiểu rủi ro lộ lọt thông tin khi có sự cố;
- iGuide.ai không lưu trữ thông tin chi tiết thẻ ngân hàng, thẻ tín dụng của Người dùng. Mọi giao dịch thanh toán được thực hiện thông qua các cổng thanh toán trung gian được cấp phép, có áp dụng cơ chế mã hóa, bảo mật đạt chuẩn (bao gồm chuẩn PCI DSS hoặc tương đương theo quy định pháp luật và tiêu chuẩn ngành).
3.2. Kiểm soát truy cập và hạ tầng hệ thống
- Hệ thống cơ sở dữ liệu và máy chủ ứng dụng được triển khai trong môi trường trung tâm dữ liệu đặt tại Việt Nam, đáp ứng các tiêu chuẩn an toàn vận hành phù hợp (ví dụ: tiêu chuẩn cấp I trở lên), có kiểm soát truy cập vật lý và giám sát an ninh;
- Hạn chế truy cập trực tiếp vào cơ sở dữ liệu; chỉ các tài khoản kỹ thuật được cấp quyền phù hợp mới được phép thao tác, trên cơ sở phân quyền nghiêm ngặt (role-based access control) và nguyên tắc “cần biết/cần dùng” (need-to-know/need-to-use);
- Áp dụng các biện pháp bảo vệ ở mức hạ tầng như: tường lửa (firewall), phân tách mạng, cấu hình an toàn cho hệ điều hành và phần mềm máy chủ, cập nhật bản vá bảo mật khi cần thiết;
- Kiểm soát đăng nhập hệ thống nội bộ thông qua cơ chế xác thực tài khoản nhân sự, phân quyền chức năng và ghi nhận lịch sử thao tác trên hệ thống quản trị.
3.3. Ghi nhật ký, giám sát và cảnh báo an ninh
- Hệ thống iGuide.ai lưu trữ log truy cập, log hệ thống và log ứng dụng ở mức độ cần thiết để phục vụ mục đích giám sát, đối soát và điều tra khi có dấu hiệu bất thường;
- Triển khai cơ chế giám sát an ninh, cảnh báo bất thường đối với các truy cập trái phép, số lần đăng nhập không thành công vượt ngưỡng, hành vi nghi ngờ tấn công hoặc khai thác lỗ hổng;
- Nhật ký hệ thống được lưu giữ trong thời hạn hợp lý, phù hợp với yêu cầu pháp luật và nhu cầu vận hành, sau đó được xóa, lưu trữ lạnh hoặc ẩn danh hóa khi không còn cần thiết.
3.4. Sao lưu, khôi phục dữ liệu và tính liên tục dịch vụ
- Thực hiện sao lưu dữ liệu tự động/định kỳ đối với các thành phần quan trọng của hệ thống (cơ sở dữ liệu, cấu hình hệ thống, mã nguồn ở mức cần thiết) để bảo đảm khả năng khôi phục trong trường hợp xảy ra sự cố;
- Dữ liệu sao lưu được lưu trữ an toàn, có kiểm soát truy cập và được kiểm tra, thử nghiệm khôi phục định kỳ theo quy trình nội bộ;
- Xây dựng phương án dự phòng, kế hoạch khôi phục sau thảm họa (DRP/BCP) ở mức phù hợp với quy mô và tính chất hoạt động của Sàn nhằm giảm thiểu thời gian gián đoạn dịch vụ khi có sự cố.
3.5. Thanh toán và thông tin tài chính
- Giao dịch thanh toán trực tuyến được thực hiện thông qua các cổng thanh toán trung gian được cơ quan có thẩm quyền cấp phép;
- Thông tin thanh toán nhạy cảm (số thẻ, mã CVV, PIN…) không được iGuide.ai lưu trữ trên hệ thống; các đối tác thanh toán chịu trách nhiệm áp dụng tiêu chuẩn bảo mật thông tin thẻ theo quy định (ví dụ: PCI DSS) và quy định pháp luật có liên quan;
- iGuide.ai chỉ lưu giữ các thông tin giao dịch cần thiết (ví dụ: mã giao dịch, trạng thái, phương thức thanh toán, giá trị đơn hàng) để phục vụ đối soát, hạch toán và nghĩa vụ pháp lý.
4. Biện pháp tổ chức, quản trị bảo mật
4.1. Quy chế bảo mật nội bộ và phân quyền trách nhiệm
- iGuide.ai ban hành, duy trì và cập nhật các quy chế, quy trình nội bộ về bảo mật thông tin, bảo vệ dữ liệu cá nhân, quản lý truy cập hệ thống, quản lý sự cố an ninh;
- Phân định rõ trách nhiệm, quyền hạn giữa các bộ phận liên quan (kỹ thuật, vận hành, chăm sóc khách hàng, pháp chế…) trong việc tiếp nhận, xử lý và bảo vệ thông tin;
- Mọi nhân sự có quyền truy cập vào dữ liệu Người dùng/NCC đều phải tuân thủ cam kết bảo mật, không được tiết lộ, sử dụng trái phép dữ liệu cho bất kỳ mục đích nào ngoài phạm vi công việc được giao.
4.2. Đào tạo, nâng cao nhận thức an toàn thông tin
- Định kỳ tổ chức hoặc lồng ghép nội dung đào tạo, hướng dẫn về an toàn thông tin, bảo vệ dữ liệu cá nhân, nhận biết hành vi tấn công lừa đảo (phishing, social engineering…) cho nhân sự nội bộ;
- Cập nhật, phổ biến kịp thời các quy định pháp luật mới, chuẩn mực và khuyến nghị về bảo mật thông tin có liên quan đến hoạt động Sàn giao dịch TMĐT.
4.3. Quản lý NCC, đối tác và nhà cung cấp dịch vụ hạ tầng
- Ràng buộc nghĩa vụ bảo mật dữ liệu, bảo vệ thông tin Người dùng và NCC trong các hợp đồng/hợp tác với:
- Đối tác cung cấp hạ tầng kỹ thuật (trung tâm dữ liệu, điện toán đám mây…);
- Đối tác cung cấp dịch vụ thanh toán, dịch vụ hỗ trợ kỹ thuật hoặc vận hành liên quan đến việc xử lý dữ liệu;
- Nhà cung cấp dịch vụ du lịch và dịch vụ liên quan khác (NCC) khi có truy cập vào dữ liệu Người dùng do iGuide.ai chuyển giao vì mục đích thực hiện dịch vụ.
- Yêu cầu các bên thứ ba tuân thủ tiêu chuẩn bảo mật phù hợp và chỉ xử lý dữ liệu theo đúng mục đích, phạm vi được iGuide.ai cho phép hoặc theo yêu cầu của pháp luật.
5. Xử lý sự cố bảo mật thông tin
5.1. Tiếp nhận và đánh giá sự cố
Khi phát hiện hoặc có căn cứ nghi ngờ xảy ra sự cố rò rỉ, mất mát, truy cập trái phép hoặc tấn công mạng liên quan đến dữ liệu trên Sàn iGuide.ai, chúng tôi sẽ:
- Ghi nhận thông tin ban đầu từ hệ thống giám sát, phản ánh của Người dùng/NCC hoặc từ đối tác;
- Đánh giá mức độ ảnh hưởng, phạm vi tác động (loại dữ liệu, số lượng bản ghi, đối tượng liên quan).
5.2. Cô lập và khắc phục sự cố
Trên cơ sở đánh giá ban đầu, iGuide.ai sẽ khẩn trương:
- Thực hiện biện pháp kỹ thuật cần thiết để cô lập nguồn gây sự cố, ngăn chặn việc tiếp tục truy cập trái phép hoặc lây lan tấn công;
- Phối hợp với đối tác hạ tầng, đối tác thanh toán và các bên liên quan để điều tra nguyên nhân gốc rễ, khôi phục hệ thống về trạng thái an toàn;
- Khắc phục, vá lỗi, điều chỉnh cấu hình hoặc triển khai bổ sung biện pháp bảo mật (nếu cần) để hạn chế khả năng tái diễn.
5.3. Thông báo cho Người dùng và cơ quan nhà nước có thẩm quyền
- Trong trường hợp pháp luật yêu cầu hoặc xét thấy cần thiết để bảo vệ quyền lợi hợp pháp của Người dùng/NCC, iGuide.ai sẽ thông báo cho các bên liên quan về sự cố bảo mật, phạm vi ảnh hưởng và khuyến nghị biện pháp tự bảo vệ (ví dụ: thay đổi mật khẩu, rà soát giao dịch…);
- Việc thông báo và báo cáo cho cơ quan nhà nước có thẩm quyền (nếu thuộc diện bắt buộc) sẽ được thực hiện theo đúng trình tự, thủ tục và thời hạn quy định của pháp luật hiện hành.
5.4. Rà soát và phòng ngừa tái diễn
Sau khi sự cố được khắc phục, iGuide.ai sẽ:
- Rà soát, đánh giá lại hệ thống kỹ thuật và quy trình nội bộ liên quan;
- Ghi nhận, tổng kết bài học kinh nghiệm, cập nhật chính sách/bộ quy trình, tăng cường các biện pháp kỹ thuật và tổ chức nhằm phòng ngừa các sự cố tương tự trong tương lai.
Chính sách này là một phần trong Quy chế hoạt động Sàn giao dịch TMĐT iGuide.ai và có thể được rà soát, cập nhật định kỳ để phù hợp với yêu cầu pháp luật và tình hình thực tế vận hành. Mọi sửa đổi, bổ sung (nếu có) sẽ được iGuide.ai công bố công khai trên hệ thống theo quy định.