Cam Kết Bảo Vệ Dữ Liệu
Văn bản này là bản cam kết kỹ thuật chính thức của OKAXI dành cho các đối tác Enterprise: cách chúng tôi thiết kế quy trình xử lý dữ liệu, kiến trúc cô lập thông tin và các biện pháp bảo mật chủ động để bảo vệ dữ liệu nghiệp vụ trong toàn bộ vòng đời hợp tác.
Cam Kết Bảo Vệ Dữ Liệu
Cập nhật lần cuối:
1. Chuẩn mực Tuân thủ (Regulatory Alignment)
Quy trình xử lý dữ liệu của OKAXI được thiết kế tiệm cận các bộ luật và khung quản trị an toàn thông tin toàn cầu, bao gồm Quy định Chung về Bảo vệ Dữ liệu của Liên minh Châu Âu (GDPR Điều 5, 25, 32 về tính hợp pháp, privacy-by-design và an toàn xử lý), Luật An toàn thông tin mạng Việt Nam 2018, Luật An ninh mạng Việt Nam 2018 và Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Chúng tôi không tuyên bố sở hữu chứng chỉ ISO/IEC 27001 hay SOC 2 Type II ở thời điểm hiện tại; tuy nhiên các nguyên tắc kiểm soát, ghi log và phân quyền được áp dụng cho mọi dự án đều tham chiếu trực tiếp tới các tiêu chuẩn đó, sẵn sàng cho lộ trình chứng chỉ hoá chính thức khi quy mô kinh doanh và yêu cầu khách hàng đòi hỏi.
2. Kiến trúc Cô lập Dữ liệu (Data Isolation Architecture)
Mỗi dự án Enterprise được cấp một không gian làm việc cô lập tại tầng hạ tầng cloud, với danh sách truy cập (Access Control List) được xác lập theo nguyên tắc least-privilege ngay từ ngày khởi tạo: chỉ các thành viên trực tiếp tham gia dự án mới được cấp quyền đọc, và phạm vi quyền được rà soát định kỳ. Dữ liệu của các khách hàng khác nhau không bao giờ chia sẻ chung schema cơ sở dữ liệu, chung thư mục lưu trữ tài liệu hoặc chung kênh trao đổi nội bộ. Khi một thành viên rời khỏi dự án, quyền truy cập của họ được thu hồi trong vòng 24 giờ làm việc và mọi credential hệ thống bị rotate ngay lập tức theo quy trình offboarding.
3. Mã hoá Đường truyền và Lưu trữ (Encryption In Transit & At Rest)
Toàn bộ dữ liệu trao đổi giữa OKAXI và đối tác, bao gồm các kênh email công việc, công cụ quản lý dự án, kho mã nguồn và các nền tảng nội bộ, đều được mã hoá bằng TLS 1.2 trở lên trong quá trình truyền tải, với forward secrecy được kích hoạt mặc định. Dữ liệu lưu trữ trên hạ tầng cloud của OKAXI được mã hoá ở mức lớp lưu trữ (server-side encryption) bằng AES-256, và các secret cấp ứng dụng (API key, token tích hợp bên thứ ba, chuỗi kết nối cơ sở dữ liệu) được quản lý qua hệ thống secret vault chuyên dụng. Mọi truy cập đến secret đều được ghi log đầy đủ và kiểm tra định kỳ; không có thành viên nào, kể cả Ban quản trị, có khả năng đọc trực tiếp secret giá trị thô qua bảng điều khiển.
4. Cấm Lưu trữ Công cộng (No Public Storage Without ACL)
OKAXI tuyệt đối không lưu trữ thông tin nhạy cảm của khách hàng, bao gồm tài liệu nghiệp vụ, mã nguồn nội bộ, dữ liệu cá nhân hay credential, trên các kho lưu trữ công cộng thiếu phân quyền. Việc đưa bất kỳ tệp dữ liệu khách hàng nào lên cloud storage bucket cấu hình public, public Git repository, public Pastebin hay tương tự đều bị cấm bằng chính sách kỹ thuật cứng và quy trình review tự động trong pipeline CI/CD. Khi cần chia sẻ dữ liệu lớn với đối tác, chúng tôi sử dụng signed URL có hạn ngắn (thời gian sống tối đa 48 giờ) hoặc các kênh chia sẻ doanh nghiệp có xác thực, không bao giờ là liên kết công khai không giới hạn.
5. Xử lý Sự cố và Thông báo (Incident Response & Notification)
OKAXI duy trì quy trình xử lý sự cố an ninh thông tin nội bộ với các bước phát hiện, cô lập, khắc phục, phân tích nguyên nhân gốc và rút kinh nghiệm. Trong trường hợp xảy ra sự cố liên quan đến dữ liệu khách hàng, chúng tôi cam kết thông báo cho điểm liên hệ chính thức của đối tác trong vòng 72 giờ kể từ thời điểm xác nhận sự cố, kèm bản đánh giá phạm vi ảnh hưởng, các bước khắc phục đã thực hiện và kế hoạch phòng ngừa tái diễn. Câu hỏi về chính sách bảo vệ dữ liệu, kiểm toán an toàn thông tin hoặc yêu cầu tài liệu DPA (Data Processing Agreement) xin gửi tới info@okaxi.com với tiêu đề bắt đầu bằng "[Data Protection]" để được Ban quản trị OKAXI xử lý ưu tiên.