Chính sách bảo mật dữ liệu

1. Mục đích

   Chính sách bảo mật dữ liệu này được thiết lập nhằm bảo vệ dữ liệu của khách hàng và người dùng trên nền tảng Merdify.

   Dữ liệu được coi là tài sản quan trọng nhất và phải được bảo vệ tương ứng với giá trị của nó. Chính sách này đảm bảo dữ liệu được bảo vệ toàn diện trong mọi hình thức, trên mọi phương tiện, và trong suốt các giai đoạn của vòng đời dữ liệu.

2. Bảo mật máy chủ (Server Security)

   Toàn bộ hoạt động xử lý và vận hành dữ liệu trên Merdify được thực hiện trên các máy chủ bảo mật của Amazon Web Services (AWS), với các biện pháp an ninh mạnh mẽ bao gồm:

   • Giám sát 24/7 để quản lý truy cập vào cơ sở vật chất.

   • Kiểm soát truy cập chặt chẽ, chỉ cho phép nhân sự được ủy quyền tiếp cận hệ thống.

   • Sử dụng tường lửa mạng (network firewall) để tăng cường bảo mật.

   • Bảo vệ chống lại các cuộc tấn công DDoS (Distributed Denial-of-Service).

3. Công nghệ bảo vệ Cloudflare

   Merdify tích hợp Cloudflare để nâng cao bảo mật, bao gồm:

   • Chống DDoS.

   • Tường lửa mạng và giám sát lưu lượng web.

   • Tăng tốc và đảm bảo truy cập dịch vụ an toàn, giúp người dùng yên tâm khi sử dụng nền tảng.

4. Phương pháp mã hóa (Encryption Methods)

   • Dữ liệu lưu trữ (Data at Rest):Sử dụng mã hóa AES-256 để bảo vệ dữ liệu nhạy cảm.

   • Dữ liệu truyền tải (Data in Transit):Sử dụng TLS (Transport Layer Security) để mã hóa dữ liệu, đảm bảo an toàn khi truyền qua mạng.

     Tất cả thông tin nhận dạng cá nhân (PII) được bảo mật trong quá trình lưu trữ và truyền tải.

5. Quyền truy cập dữ liệu (Data Access Control)

   • Merdify sử dụng kiểm soát truy cập dựa trên vai trò (Role-Based Access Control - RBAC).

   • Chỉ nhân sự được ủy quyền, có vai trò cụ thể, mới được phép truy cập vào dữ liệu nhạy cảm.

   • Quyền truy cập được kiểm tra định kỳ và điều chỉnh theo nguyên tắc “cần biết” (Need-to-Know).

   Quản lý truy cập của nhân viên:

   • Chỉ kỹ sư Merdify được phép truy cập mã nguồn và xử lý yêu cầu hỗ trợ của khách hàng.

   • Mỗi nhân viên có thông tin đăng nhập riêng và chỉ được phép truy cập từ các địa chỉ IP cụ thể.

6. Phương án ứng phó sự cố (Incident Response Plan)

   Merdify có kế hoạch ứng phó sự cố để phát hiện, phản ứng và giảm thiểu các sự cố bảo mật, bao gồm:

   • Truy cập trái phép hoặc vi phạm dữ liệu.

   • Đội ngũ an ninh sẽ nhanh chóng kiểm soát và xử lý sự cố.

   • Trong trường hợp dữ liệu bên thứ ba bị ảnh hưởng, Merdify sẽ thông báo ngay cho các bên liên quan để phối hợp giải quyết.

7. Lưu trữ dữ liệu (Data Retention)

   • Dữ liệu cá nhân nhận dạng (PII) được lưu trữ trong thời gian cần thiết để cung cấp dịch vụ và hỗ trợ khách hàng, không quá 90 ngày sau khi kết thúc sử dụng dịch vụ.

   • Sau thời gian này, dữ liệu sẽ được xóa an toàn, tuân thủ các quy định về bảo vệ dữ liệu.

8. Giám sát và kiểm tra (Monitoring and Auditing)

   • Merdify giám sát liên tục mọi hoạt động truy cập vào dữ liệu nhạy cảm và duy trì nhật ký để theo dõi các nỗ lực truy cập dữ liệu.

   • Thực hiện kiểm tra định kỳ để phát hiện và phản ứng nhanh chóng với các hoạt động không hợp lệ hoặc đáng ngờ.

9. Thiết bị và kiểm soát dữ liệu (Device Control)

   • Công cụ ngăn ngừa mất dữ liệu (DLP) được triển khai để ngăn chặn việc truyền dữ liệu trái phép sang các thiết bị cá nhân.

   • Nhân viên chỉ được truy cập dữ liệu qua các thiết bị được công ty quản lý và bảo mật.

10. Tuân thủ GDPR và quy định pháp luật

    • Merdify tuân thủ Quy định Bảo vệ Dữ liệu Chung (GDPR) và các quy định bảo mật tương tự.

    • Thu thập dữ liệu hợp pháp, minh bạch và chỉ sau khi được sự đồng ý rõ ràng của người dùng.

    • Người dùng có quyền truy cập, chỉnh sửa hoặc yêu cầu xóa dữ liệu của mình bất kỳ lúc nào.

11. Không thu thập hoặc chia sẻ dữ liệu không cần thiết

    • Nguyên tắc thu thập: Merdify chỉ thu thập các dữ liệu cần thiết cho việc cung cấp dịch vụ và cải thiện trải nghiệm người dùng. Dữ liệu không liên quan sẽ không được thu thập.

    • Chính sách không chia sẻ:

      • Merdify cam kết không chia sẻ dữ liệu của khách hàng với bất kỳ bên thứ ba nào, ngoại trừ khi được yêu cầu bởi quy định pháp luật.

      • Dữ liệu sẽ chỉ được xử lý nội bộ và tuân thủ nghiêm ngặt các chính sách bảo mật đã đề ra.