Tổng Quan Bảo Mật

Bảo mật là một yếu tố cốt lõi trong thiết kế và vận hành của iSign. Hệ thống được xây dựng để đảm bảo tính bảo mật cao nhất, bảo vệ dữ liệu người dùng và đảm bảo tính toàn vẹn của tất cả các giao dịch ký số điện tử. iSign không chỉ tuân thủ các tiêu chuẩn bảo mật quốc tế mà còn đạt được các chứng nhận và tuân thủ các khung kiến trúc bảo mật hàng đầu.

1. Chứng Nhận và Tuân Thủ

Chứng Nhận ISO 27001

iSign đã đạt chứng nhận ISO 27001, tiêu chuẩn quốc tế hàng đầu về quản lý an ninh thông tin. Điều này đảm bảo rằng các quy trình bảo mật của iSign được xây dựng, duy trì và cải tiến liên tục để đáp ứng yêu cầu bảo mật cao nhất.

ISO 27001: Tiêu chuẩn này bao gồm việc đánh giá và quản lý rủi ro, thiết lập các biện pháp kiểm soát an ninh, và đảm bảo tính liên tục của hệ thống.

Tuân Thủ AWS Well-Architected Framework

iSign được xây dựng trên nền tảng AWS và tuân thủ theo AWS Well-Architected Framework. Khung kiến trúc này đảm bảo rằng hệ thống iSign được thiết kế để tối ưu hóa bảo mật, hiệu năng, độ tin cậy, và hiệu quả hoạt động.

AWS Well-Architected Framework: Bao gồm các nguyên tắc và thực tiễn tốt nhất để xây dựng hệ thống an toàn, đáng tin cậy, và hiệu quả trên AWS.

Chứng Nhận SOC

Hạ tầng SaaS của iSign vận hành trên AWS đã đạt được các chứng nhận SOC (System and Organization Controls), bao gồm:

SOC 1: Đánh giá và chứng nhận các kiểm soát tài chính trong hệ thống.
SOC 2: Đánh giá và chứng nhận các kiểm soát về bảo mật, tính sẵn sàng, và tính toàn vẹn của dữ liệu.
SOC 3: Báo cáo công khai về kiểm soát bảo mật của hệ thống, minh bạch với khách hàng và đối tác.

2. Cơ Chế Bảo Mật

Mã Hóa Dữ Liệu

Tất cả dữ liệu trong iSign đều được mã hóa bằng các phương thức mã hóa tiêu chuẩn của AWS, đảm bảo rằng dữ liệu luôn được bảo vệ cả khi lưu trữ và truyền tải.

Mã hóa dữ liệu lưu trữ (at rest): iSign sử dụng AWS Key Management Service (KMS) để quản lý và mã hóa dữ liệu khi lưu trữ. Tất cả các dữ liệu, bao gồm tài liệu, thông tin người dùng, và nhật ký giao dịch, đều được mã hóa bằng Advanced Encryption Standard (AES) với chiều dài khóa 256-bit.
Mã hóa dữ liệu truyền tải (in transit): Dữ liệu được truyền tải giữa các thành phần hệ thống và người dùng được bảo vệ bằng Transport Layer Security (TLS) phiên bản mới nhất. Điều này đảm bảo rằng dữ liệu không thể bị đọc hoặc thay đổi bởi các bên thứ ba trong quá trình truyền tải.

Xác Thực và Phân Quyền

iSign áp dụng các cơ chế xác thực và phân quyền nghiêm ngặt để bảo vệ hệ thống khỏi các truy cập trái phép.

Xác thực hai yếu tố (2FA): Người dùng bắt buộc phải sử dụng mật khẩu cùng với mã xác thực (OTP) được gửi qua SMS hoặc email để đăng nhập. Điều này tăng cường bảo mật cho tài khoản người dùng, ngăn ngừa các cuộc tấn công dựa trên mật khẩu.
Phân quyền người dùng: Hệ thống quản lý quyền truy cập dựa trên vai trò (Role-Based Access Control - RBAC), đảm bảo rằng người dùng chỉ có thể truy cập và thao tác trong phạm vi được phép của họ. Mọi quyền truy cập được giám sát và ghi lại để kiểm tra và truy xuất khi cần.

Kiểm Soát Truy Cập

Hệ thống iSign được thiết kế để kiểm soát truy cập một cách nghiêm ngặt, đảm bảo chỉ những người dùng và thiết bị được ủy quyền mới có thể truy cập vào hệ thống.

Danh sách trắng IP (IP Whitelisting): Tính năng này cho phép quản trị viên giới hạn truy cập vào hệ thống từ các địa chỉ IP đã được phê duyệt. Điều này giúp giảm thiểu nguy cơ truy cập trái phép từ các địa chỉ IP không đáng tin cậy.
Quản lý phiên đăng nhập (Session Management): Hệ thống theo dõi và quản lý các phiên đăng nhập của người dùng. Các phiên không hoạt động trong một khoảng thời gian nhất định sẽ tự động bị đăng xuất để bảo vệ chống lại các cuộc tấn công chiếm quyền điều khiển phiên (session hijacking).

Theo Dõi và Ghi Log

iSign thực hiện ghi log chi tiết mọi hoạt động của người dùng và các sự kiện quan trọng để đảm bảo tính toàn vẹn và khả năng truy xuất nguồn gốc.

Ghi log hoạt động: Mọi hoạt động của người dùng, từ đăng nhập, thao tác với tài liệu đến các hành động quản trị, đều được ghi lại trong hệ thống. Log này giúp quản trị viên phát hiện và điều tra các hành vi đáng ngờ hoặc truy cập trái phép.
Theo dõi sự kiện: Hệ thống tự động theo dõi và cảnh báo về các sự kiện bất thường, như nhiều lần đăng nhập thất bại, truy cập từ các địa chỉ IP lạ, hoặc thay đổi quan trọng trong cấu hình hệ thống.

Bảo Mật Cơ Sở Hạ Tầng

Cơ sở hạ tầng của iSign, vận hành trên nền tảng AWS, tuân thủ các tiêu chuẩn bảo mật hàng đầu như ISO 27001, SOC, và AWS Well-Architected Framework.

Cơ sở hạ tầng AWS: AWS cung cấp một môi trường bảo mật mạnh mẽ với các tính năng như VPC (Virtual Private Cloud) để cách ly và bảo vệ tài nguyên, IAM (Identity and Access Management) để quản lý quyền truy cập, và CloudTrail để giám sát và ghi log mọi hành động trên nền tảng AWS.
Sao lưu và khôi phục dữ liệu: Dữ liệu trên iSign được sao lưu định kỳ và lưu trữ an toàn tại nhiều vị trí địa lý khác nhau. Các kế hoạch khôi phục dữ liệu cũng được thực hiện thường xuyên để đảm bảo hệ thống có thể phục hồi nhanh chóng trong trường hợp khẩn cấp.

PreviousKiến Trúc Hệ Thống NextTuỳ Chỉnh & Tích Hợp

Last updated 7 months ago

Tổng Quan Bảo Mật

1. Chứng Nhận và Tuân Thủ

Chứng Nhận ISO 27001

ISO 27001: Tiêu chuẩn này bao gồm việc đánh giá và quản lý rủi ro, thiết lập các biện pháp kiểm soát an ninh, và đảm bảo tính liên tục của hệ thống.

Tuân Thủ AWS Well-Architected Framework

AWS Well-Architected Framework: Bao gồm các nguyên tắc và thực tiễn tốt nhất để xây dựng hệ thống an toàn, đáng tin cậy, và hiệu quả trên AWS.

Chứng Nhận SOC

Hạ tầng SaaS của iSign vận hành trên AWS đã đạt được các chứng nhận SOC (System and Organization Controls), bao gồm:

SOC 1: Đánh giá và chứng nhận các kiểm soát tài chính trong hệ thống.
SOC 2: Đánh giá và chứng nhận các kiểm soát về bảo mật, tính sẵn sàng, và tính toàn vẹn của dữ liệu.
SOC 3: Báo cáo công khai về kiểm soát bảo mật của hệ thống, minh bạch với khách hàng và đối tác.

2. Cơ Chế Bảo Mật

Mã Hóa Dữ Liệu

Mã hóa dữ liệu lưu trữ (at rest): iSign sử dụng AWS Key Management Service (KMS) để quản lý và mã hóa dữ liệu khi lưu trữ. Tất cả các dữ liệu, bao gồm tài liệu, thông tin người dùng, và nhật ký giao dịch, đều được mã hóa bằng Advanced Encryption Standard (AES) với chiều dài khóa 256-bit.
Mã hóa dữ liệu truyền tải (in transit): Dữ liệu được truyền tải giữa các thành phần hệ thống và người dùng được bảo vệ bằng Transport Layer Security (TLS) phiên bản mới nhất. Điều này đảm bảo rằng dữ liệu không thể bị đọc hoặc thay đổi bởi các bên thứ ba trong quá trình truyền tải.

Xác Thực và Phân Quyền

iSign áp dụng các cơ chế xác thực và phân quyền nghiêm ngặt để bảo vệ hệ thống khỏi các truy cập trái phép.

Xác thực hai yếu tố (2FA): Người dùng bắt buộc phải sử dụng mật khẩu cùng với mã xác thực (OTP) được gửi qua SMS hoặc email để đăng nhập. Điều này tăng cường bảo mật cho tài khoản người dùng, ngăn ngừa các cuộc tấn công dựa trên mật khẩu.
Phân quyền người dùng: Hệ thống quản lý quyền truy cập dựa trên vai trò (Role-Based Access Control - RBAC), đảm bảo rằng người dùng chỉ có thể truy cập và thao tác trong phạm vi được phép của họ. Mọi quyền truy cập được giám sát và ghi lại để kiểm tra và truy xuất khi cần.

Kiểm Soát Truy Cập

Danh sách trắng IP (IP Whitelisting): Tính năng này cho phép quản trị viên giới hạn truy cập vào hệ thống từ các địa chỉ IP đã được phê duyệt. Điều này giúp giảm thiểu nguy cơ truy cập trái phép từ các địa chỉ IP không đáng tin cậy.
Quản lý phiên đăng nhập (Session Management): Hệ thống theo dõi và quản lý các phiên đăng nhập của người dùng. Các phiên không hoạt động trong một khoảng thời gian nhất định sẽ tự động bị đăng xuất để bảo vệ chống lại các cuộc tấn công chiếm quyền điều khiển phiên (session hijacking).

Theo Dõi và Ghi Log

iSign thực hiện ghi log chi tiết mọi hoạt động của người dùng và các sự kiện quan trọng để đảm bảo tính toàn vẹn và khả năng truy xuất nguồn gốc.

Ghi log hoạt động: Mọi hoạt động của người dùng, từ đăng nhập, thao tác với tài liệu đến các hành động quản trị, đều được ghi lại trong hệ thống. Log này giúp quản trị viên phát hiện và điều tra các hành vi đáng ngờ hoặc truy cập trái phép.
Theo dõi sự kiện: Hệ thống tự động theo dõi và cảnh báo về các sự kiện bất thường, như nhiều lần đăng nhập thất bại, truy cập từ các địa chỉ IP lạ, hoặc thay đổi quan trọng trong cấu hình hệ thống.

Bảo Mật Cơ Sở Hạ Tầng

Cơ sở hạ tầng của iSign, vận hành trên nền tảng AWS, tuân thủ các tiêu chuẩn bảo mật hàng đầu như ISO 27001, SOC, và AWS Well-Architected Framework.

Cơ sở hạ tầng AWS: AWS cung cấp một môi trường bảo mật mạnh mẽ với các tính năng như VPC (Virtual Private Cloud) để cách ly và bảo vệ tài nguyên, IAM (Identity and Access Management) để quản lý quyền truy cập, và CloudTrail để giám sát và ghi log mọi hành động trên nền tảng AWS.
Sao lưu và khôi phục dữ liệu: Dữ liệu trên iSign được sao lưu định kỳ và lưu trữ an toàn tại nhiều vị trí địa lý khác nhau. Các kế hoạch khôi phục dữ liệu cũng được thực hiện thường xuyên để đảm bảo hệ thống có thể phục hồi nhanh chóng trong trường hợp khẩn cấp.

PreviousKiến Trúc Hệ Thống NextTuỳ Chỉnh & Tích Hợp

Last updated 7 months ago