Bảo mật

Lưu trữ và Hạ tầng

Chúng tôi sử dụng Vercel để lưu trữ và cung cấp hạ tầng bảo mật. Để biết thêm chi tiết, vui lòng tham khảo trang Bảo mật của Vercel.

Hạ tầng của chúng tôi được lưu trữ trên nền tảng đám mây phía frontend, tận dụng nền tảng serverless của Vercel để đảm bảo các tiêu chuẩn bảo mật vững chắc. Dữ liệu và tài nguyên của chúng tôi được phân phối thông qua hệ thống CDN (Content Delivery Network) giúp tối ưu hiệu suất, giảm độ trễ và tăng cường bảo mật chống lại các mối đe dọa trực tuyến.

Chúng tôi thường xuyên cập nhật và kiểm tra hệ thống để đảm bảo môi trường lưu trữ luôn an toàn, đồng thời áp dụng các cơ chế giám sát nhằm phát hiện và xử lý các mối nguy tiềm ẩn.

Chứng nhận và Tuân thủ

Vercel tuân thủ các tiêu chuẩn và chứng nhận trong ngành, bao gồm:

• ISO 27001: Quản lý an ninh thông tin
• SOC 2: Kiểm soát hoạt động và bảo mật
• PCI DSS: Bảo vệ dữ liệu thẻ thanh toán
• HIPAA: Bảo vệ dữ liệu y tế
• GDPR: Bảo mật dữ liệu tại Châu Âu
• DPF: Khung bảo vệ dữ liệu

Bảo vệ DDoS

Vercel cung cấp bảo mật ứng dụng mở rộng và giảm thiểu DDoS thông qua nhiều lớp bảo vệ:

• Bảo vệ DDoS L3/L4: Bảo vệ toàn cầu tại mọi điểm biên
• Tường lửa L7 toàn cầu: Hỗ trợ chống DDoS cấp doanh nghiệp và tự động giảm thiểu cho mọi gói dịch vụ
• Quản lý quy tắc tùy chỉnh: Công cụ mạnh mẽ để tạo và thực thi quy tắc tùy chỉnh
• Chế độ thách thức tấn công: Xác minh khách truy cập trong thời gian tấn công
• Tường lửa ứng dụng web: Tích hợp bảo mật nâng cao

Giám sát và Quản lý

• Giám sát thời gian thực: Theo dõi các chỉ số quan trọng và triển khai sản phẩm
• Bộ quy tắc được quản lý: Bảo vệ chống lại các rủi ro hàng đầu, bao gồm OWASP Top 10
• Giới hạn tốc độ: Kiểm soát tần suất yêu cầu (Beta)
• Khôi phục ngay lập tức: Nhanh chóng hoàn tác các quy tắc tường lửa
• Phát tán tức thời: Thay đổi có hiệu lực toàn cầu trong vòng 300ms

Dự phòng và Độ sẵn sàng cao

• Chuyển đổi dự phòng tự động: Lưu lượng truy cập được định tuyến đến khu vực gần nhất khi có sự cố
• Dự phòng nhiều lớp: Tài nguyên tĩnh được sao chép trên Mạng biên của Vercel
• Định tuyến Anycast: Đảm bảo độ trễ thấp nhất

Bảo mật không gian làm việc

• Kiểm soát truy cập theo vai trò: Phân quyền để quản lý truy cập
• Bảo vệ triển khai: Bảo vệ URL xem trước và sản phẩm
• Nhật ký kiểm tra: Theo dõi hoạt động nhóm (Enterprise)
• Đồng bộ thư mục: Quản lý thành viên từ nhà cung cấp danh tính bên thứ ba (Enterprise)
• Chủ sở hữu mã nguồn: Đảm bảo quy trình kiểm tra mã nguồn hợp lý

Bảo mật Supabase

Tuân thủ SOC 2

Supabase tuân thủ SOC2 Type 2, một tiêu chuẩn quan trọng về bảo mật khi xử lý dữ liệu khách hàng nhạy cảm. Người dùng gói Doanh nghiệp và Nhóm có thể truy cập báo cáo SOC2 trên bảng điều khiển.

Tuân thủ HIPAA

Supabase tuân thủ HIPAA, cho phép lưu trữ Thông tin Sức khỏe Được Bảo vệ (PHI) trên nền tảng lưu trữ khi đã ký Thỏa thuận Đối tác Kinh doanh (BAA) và thực hiện đầy đủ các nghĩa vụ HIPAA theo mô hình trách nhiệm chia sẻ. Người dùng gói Doanh nghiệp và Nhóm có thể yêu cầu ký BAA trên bảng điều khiển.

Mã hóa dữ liệu

Tất cả dữ liệu khách hàng trên Supabase đều được mã hóa khi lưu trữ bằng AES-256 và khi truyền qua TLS. Các thông tin nhạy cảm như token truy cập và khóa bảo mật được mã hóa ở cấp ứng dụng trước khi lưu trữ trong cơ sở dữ liệu.

Kiểm soát truy cập theo vai trò

Các thành viên trong tổ chức trên Supabase có thể được cấp quyền truy cập vào các tài nguyên cụ thể với quyền kiểm soát chi tiết, bao gồm quyền Chỉ đọc và Chỉ thanh toán.

Sao lưu dữ liệu

Tất cả cơ sở dữ liệu của khách hàng trả phí được sao lưu hàng ngày. Tính năng Khôi phục Theo Thời Gian (Point in Time Recovery) cho phép khôi phục cơ sở dữ liệu về bất kỳ thời điểm nào trong quá khứ, có sẵn dưới dạng tiện ích bổ sung cho khách hàng gói Pro.

Xử lý thanh toán

Supabase sử dụng Stripe để xử lý thanh toán và không lưu trữ thông tin thẻ tín dụng cá nhân. Stripe là Nhà cung cấp dịch vụ thanh toán được chứng nhận PCI Cấp 1, mức chứng nhận cao nhất trong ngành thanh toán.

Quản lý lỗ hổng bảo mật

Supabase thực hiện kiểm tra bảo mật định kỳ với các chuyên gia trong ngành và sử dụng các công cụ như GitHub, Vanta và Snyk để quét mã nhằm phát hiện lỗ hổng bảo mật.

Bảo vệ chống DDoS

Supabase ngăn chặn các cuộc tấn công Từ chối Dịch vụ Phân tán (DDoS) thông qua nhiều biện pháp, bao gồm bảo vệ cấp CDN bằng Cloudflare và fail2ban để ngăn chặn đăng nhập tấn công brute force. Người dùng có thể tùy chỉnh giới hạn tốc độ cho các tuyến API quan trọng và đặt giới hạn chi tiêu để tránh các hóa đơn bất ngờ.

Mã hóa dữ liệu

Chúng tôi áp dụng các biện pháp mã hóa mạnh mẽ để bảo vệ dữ liệu của bạn trong quá trình truyền tải và lưu trữ, đảm bảo rằng thông tin luôn an toàn và bảo mật.

Các phương pháp mã hóa bao gồm:

• Mã hóa khi truyền tải (SSL/TLS): Tất cả dữ liệu được truyền giữa trình duyệt của bạn và máy chủ của chúng tôi đều được mã hóa bằng giao thức SSL/TLS để ngăn chặn hành vi đánh cắp hoặc xâm nhập trái phép.
• Mã hóa khi lưu trữ (Encryption-at-Rest): Chúng tôi sử dụng các thuật toán mã hóa tiên tiến để bảo vệ dữ liệu khi lưu trữ, đảm bảo rằng ngay cả khi dữ liệu bị truy cập trái phép, thông tin vẫn không thể bị giải mã mà không có quyền hợp lệ.
• Bảo vệ khóa mã hóa: Chúng tôi quản lý và bảo vệ khóa mã hóa bằng các cơ chế an toàn để đảm bảo chỉ những hệ thống và cá nhân có thẩm quyền mới có thể giải mã dữ liệu khi cần thiết.
• Tuân thủ tiêu chuẩn an toàn: Chúng tôi áp dụng các tiêu chuẩn mã hóa tuân thủ các quy định bảo mật dữ liệu quốc tế như AES-256 để đảm bảo mức độ bảo vệ cao nhất.

Với biện pháp mã hóa này, chúng tôi cam kết bảo vệ dữ liệu của bạn trước mọi rủi ro về bảo mật và quyền riêng tư.

Kiểm soát truy cập

Chúng tôi thực hiện các biện pháp kiểm soát truy cập nghiêm ngặt để bảo vệ dữ liệu của bạn và đảm bảo rằng chỉ những người được ủy quyền mới có thể truy cập vào hệ thống.

Các biện pháp kiểm soát truy cập bao gồm:

• Phân quyền chặt chẽ: Chỉ những nhân sự có thẩm quyền mới được cấp quyền truy cập vào dữ liệu và hệ thống quan trọng.
• Xác thực đa yếu tố (MFA): Mọi truy cập vào hệ thống quan trọng đều yêu cầu xác thực hai lớp để đảm bảo tính bảo mật.
• Mã hóa thông tin đăng nhập: Tất cả thông tin xác thực và dữ liệu truy cập đều được mã hóa để ngăn chặn truy cập trái phép.
• Giám sát hoạt động truy cập: Hệ thống theo dõi và ghi nhận tất cả các lần truy cập để phát hiện hành vi bất thường và ngăn chặn rủi ro bảo mật.

Chúng tôi cam kết áp dụng các biện pháp kiểm soát truy cập tiên tiến để bảo vệ dữ liệu của bạn và duy trì tính bảo mật cao nhất trong toàn bộ hệ thống.

Tuân thủ và Chứng nhận

Chúng tôi cam kết bảo vệ dữ liệu người dùng và tuân thủ các tiêu chuẩn bảo mật nghiêm ngặt trong ngành. Để đảm bảo hệ thống luôn an toàn và đáp ứng các yêu cầu pháp lý, chúng tôi tận dụng khung tuân thủ mạnh mẽ của Vercel.

Vercel đáp ứng các tiêu chuẩn bảo mật và tuân thủ sau:

• ISO 27001: Hệ thống quản lý an ninh thông tin giúp đảm bảo tính bảo mật, toàn vẹn và sẵn sàng của dữ liệu.
• SOC 2: Bộ kiểm soát vận hành và bảo mật, đảm bảo các quy trình bảo vệ dữ liệu được thực hiện đúng tiêu chuẩn.
• PCI DSS: Tiêu chuẩn bảo vệ dữ liệu thẻ thanh toán, giúp bảo vệ thông tin tài chính của người dùng.
• HIPAA: Tiêu chuẩn bảo vệ dữ liệu y tế, đảm bảo thông tin sức khỏe cá nhân được bảo mật.
• GDPR & DPA: Quy định bảo vệ dữ liệu tại châu Âu, đảm bảo quyền riêng tư và bảo mật thông tin cá nhân của người dùng.

Những chứng nhận này giúp chúng tôi đảm bảo rằng cơ sở hạ tầng và quy trình bảo mật luôn tuân thủ các tiêu chuẩn cao nhất về bảo mật, quyền riêng tư và tuân thủ quy định pháp lý. Chúng tôi liên tục đánh giá và cập nhật các biện pháp bảo mật để đáp ứng những thay đổi về chính sách và công nghệ.

Dịch vụ bên thứ ba

Để đảm bảo tính bảo mật và hiệu suất cao nhất cho hệ thống của chúng tôi, chúng tôi hợp tác với các nhà cung cấp dịch vụ bên thứ ba đáng tin cậy. Các dịch vụ này cung cấp cơ sở hạ tầng mạnh mẽ, các công cụ bảo mật tiên tiến và hỗ trợ giám sát liên tục để bảo vệ dữ liệu của người dùng.

Chúng tôi sử dụng Vercel để triển khai và bảo vệ các ứng dụng web, đồng thời tận dụng hệ thống bảo mật chặt chẽ của họ. Vercel cung cấp các biện pháp bảo mật như mã hóa dữ liệu, kiểm soát truy cập, giám sát mối đe dọa và tuân thủ các tiêu chuẩn bảo mật hàng đầu.

Ngoài ra, chúng tôi cũng tích hợp với Supabase, một nền tảng cơ sở dữ liệu và xác thực mạnh mẽ. Supabase cung cấp các tính năng bảo mật như mã hóa dữ liệu AES-256, kiểm soát quyền truy cập theo vai trò và sao lưu dữ liệu định kỳ để đảm bảo an toàn và khôi phục khi cần thiết.

Để biết thêm chi tiết về các biện pháp bảo mật của các dịch vụ này, vui lòng tham khảo:

• Bảo mật của Vercel
• Bảo mật của Supabase

Chúng tôi luôn theo dõi và đánh giá các dịch vụ bên thứ ba để đảm bảo chúng đáp ứng các tiêu chuẩn bảo mật nghiêm ngặt, giúp bảo vệ dữ liệu của người dùng một cách tối ưu.

Báo cáo lỗ hổng bảo mật

Chúng tôi cam kết duy trì môi trường an toàn cho người dùng và đánh giá cao sự hỗ trợ từ cộng đồng trong việc phát hiện các lỗ hổng bảo mật. Nếu bạn phát hiện bất kỳ vấn đề bảo mật nào có thể ảnh hưởng đến hệ thống của chúng tôi, vui lòng báo cáo ngay để chúng tôi có thể khắc phục kịp thời.

Chúng tôi khuyến khích việc tiết lộ có trách nhiệm và cam kết xem xét tất cả các báo cáo một cách nghiêm túc. Nếu cần, chúng tôi sẽ hợp tác chặt chẽ với người báo cáo để tìm ra giải pháp phù hợp.

Vui lòng gửi thông tin chi tiết về lỗ hổng bảo mật đến hello@vgds.design, bao gồm mô tả rõ ràng về vấn đề, cách tái hiện, và bất kỳ thông tin nào khác có thể giúp chúng tôi xác minh và xử lý nhanh chóng.

Chúng tôi sẽ phản hồi trong thời gian sớm nhất và có thể cung cấp thông tin cập nhật về tiến trình khắc phục khi cần thiết. Xin cảm ơn sự đóng góp của bạn trong việc giữ an toàn cho hệ thống của chúng tôi!

Cập nhật và Giám sát

Chúng tôi thực hiện các cuộc kiểm tra bảo mật định kỳ để phát hiện sớm và giảm thiểu các mối đe dọa tiềm ẩn. Hệ thống của chúng tôi được giám sát liên tục nhằm đảm bảo tính ổn định và an toàn, đồng thời phát hiện nhanh chóng các hoạt động đáng ngờ.

Các bản cập nhật và vá lỗi bảo mật được triển khai kịp thời để bảo vệ dữ liệu và hệ thống của chúng tôi trước các rủi ro mới. Chúng tôi luôn tuân theo các phương pháp bảo mật tốt nhất trong ngành để duy trì môi trường an toàn cho người dùng.

Ngoài ra, chúng tôi hợp tác với các chuyên gia bảo mật và sử dụng các công cụ giám sát tiên tiến để nâng cao khả năng phát hiện và phản ứng nhanh với các sự cố bảo mật.

Liên hệ với chúng tôi

Nếu bạn có bất kỳ câu hỏi nào về các biện pháp bảo mật của chúng tôi hoặc cần hỗ trợ về các vấn đề liên quan đến bảo mật, vui lòng liên hệ với chúng tôi qua email: hello@vgds.design.

Chúng tôi khuyến khích báo cáo có trách nhiệm về các lỗ hổng bảo mật nhằm giúp cải thiện và duy trì an toàn cho hệ thống. Nếu bạn phát hiện bất kỳ vấn đề bảo mật nào, vui lòng cung cấp mô tả chi tiết cùng với các bước để tái tạo lỗi (nếu có) khi gửi báo cáo.

Chúng tôi sẽ xem xét tất cả các báo cáo bảo mật một cách nghiêm túc và phản hồi sớm nhất có thể. Cảm ơn bạn đã hợp tác để giúp hệ thống của chúng tôi an toàn hơn.

Tuyên bố từ chối trách nhiệm

Thông tin bảo mật được cung cấp trên trang này chỉ nhằm mục đích tham khảo và có thể thay đổi theo thời gian. Chúng tôi không chịu trách nhiệm đối với bất kỳ tổn thất hoặc thiệt hại nào phát sinh do việc sử dụng thông tin này.

Chúng tôi cam kết duy trì và cập nhật các biện pháp bảo mật nhằm bảo vệ dữ liệu của người dùng. Tuy nhiên, không có hệ thống nào hoàn toàn miễn nhiễm với rủi ro bảo mật. Do đó, chúng tôi khuyến nghị người dùng áp dụng các biện pháp bảo mật bổ sung để bảo vệ thông tin cá nhân và dữ liệu của mình.

Chúng tôi có quyền thay đổi, cập nhật hoặc điều chỉnh nội dung trên trang này mà không cần thông báo trước nhằm phản ánh các chính sách bảo mật mới nhất và các yêu cầu tuân thủ pháp lý.