CyStack.,JSC

CyStack là công ty an ninh mạng hàng đầu tại Việt Nam, được biết đến với khả năng nghiên cứu chuyên sâu và xây dựng các sản phẩm và dịch vụ tiên phong về bảo mật, bao gồm đánh giá bảo mật, bảo mật trọn gói, bảo vệ dữ liệu, và tuân thủ bảo mật. Các giải pháp của CyStack được thiết kế trực quan, dễ sử dụng, phù hợp với doanh nghiệp ở các quy mô, ngân sách, và khả năng kỹ thuật khác nhau.

Chính sách

Về bảo mật

# Bảo mật tại CyStack

CyStack phát triển các sản phẩm giúp khách hàng quản lý mật khẩu, phát hiện lỗ hổng và bảo vệ dữ liệu. Chúng tôi hiểu rằng để khách hàng tin tưởng giao phó những thông tin nhạy cảm nhất, bản thân CyStack phải đặt tiêu chuẩn bảo mật ở mức cao nhất - từ cách thiết kế sản phẩm, vận hành hạ tầng, đến cách xử lý dữ liệu.

Trang này mô tả các biện pháp kỹ thuật và tổ chức mà CyStack áp dụng để bảo vệ dữ liệu khách hàng.

## Nguyên tắc thiết kế bảo mật

CyStack áp dụng mô hình **Secure by Design** xuyên suốt vòng đời phát triển phần mềm (SDLC):

- **Mô hình hóa mối đe dọa (Threat Modeling):** Mỗi tính năng mới đều trải qua phân tích mối đe dọa trước khi triển khai, xác định các attack surface và biện pháp kiểm soát tương ứng.

- **DevSecOps:** Kiểm tra bảo mật tự động được tích hợp vào pipeline CI/CD, bao gồm phân tích mã nguồn tĩnh (SAST), phân tích thành phần phụ thuộc (SCA) và quét lỗ hổng container.

- **Đánh giá bảo mật nội bộ & bên ngoài:** Ngoài kiểm thử nội bộ định kỳ, CyStack thực hiện đánh giá độc lập từ bên ngoài để đảm bảo tính khách quan.

- **Nguyên tắc đặc quyền tối thiểu (Least Privilege):** Mọi quyền truy cập - từ nhân viên đến hệ thống nội bộ - đều được cấp ở mức tối thiểu cần thiết và được rà soát định kỳ.

## Mã hóa & Bảo vệ dữ liệu

- **Mã hóa khi truyền tải (In Transit):** Toàn bộ kết nối đến các dịch vụ CyStack sử dụng TLS 1.2 trở lên. Các cipher suite yếu và giao thức cũ bị vô hiệu hóa.

- **Mã hóa khi lưu trữ (At Rest):** Dữ liệu khách hàng được mã hóa bằng AES-256 tại tầng lưu trữ.

- **Mã hóa đầu cuối (End-to-End) cho Locker:** Với sản phẩm Locker Password Manager, dữ liệu vault của người dùng được mã hóa đầu cuối bằng khóa dẫn xuất từ Master Password. CyStack không lưu trữ và không có khả năng truy cập Master Password hay dữ liệu vault ở dạng giải mã.

## Hạ tầng & Vận hành

- **Môi trường đám mây:** Hạ tầng sản phẩm được triển khai trên các nền tảng đám mây uy tín với các chứng nhận bảo mật quốc tế (SOC 2, ISO 27001).

- **Phân tách môi trường:** Môi trường phát triển, kiểm thử và sản xuất (production) được cách ly hoàn toàn. Dữ liệu khách hàng thực không được sử dụng trong môi trường thử nghiệm.

- **Giám sát & Ghi log:** Hệ thống giám sát hoạt động 24/7, ghi nhận các sự kiện bảo mật và cảnh báo bất thường theo thời gian thực.

- **Sao lưu & Khôi phục:** Dữ liệu được sao lưu định kỳ, mã hóa và kiểm tra khả năng khôi phục để đảm bảo tính sẵn sàng.

## Đội ngũ bảo mật

CyStack duy trì các nhóm chuyên trách phụ trách từng lĩnh vực bảo mật:

- **Phát hiện & Ứng phó sự cố:**

Giám sát, phát hiện xâm nhập và phối hợp xử lý sự cố bảo mật

- **Bảo mật hạ tầng & đám mây:**

Kiến trúc bảo mật hạ tầng, cấu hình an toàn, quản lý quyền truy cập

- **Bảo mật sản phẩm:**

Rà soát mã nguồn, đánh giá thiết kế bảo mật, tư vấn cho đội phát triển

- **Kiểm thử bảo mật:**

Kiểm thử xâm nhập nội bộ, red teaming, đánh giá lỗ hổng định kỳ

## Quyền riêng tư

CyStack cam kết bảo vệ thông tin cá nhân của khách hàng - tức mọi thông tin có thể dùng để xác định danh tính cá nhân (PII). Cụ thể:

- Thông tin cá nhân do khách hàng cung cấp được xử lý với tính bảo mật cao nhất.

- CyStack **không bán, cho thuê hay trao đổi** thông tin cá nhân của khách hàng với bất kỳ bên thứ ba nào.

- Việc chia sẻ dữ liệu với bên thứ ba (nếu có) chỉ diễn ra khi cần thiết cho việc cung cấp dịch vụ, tuân theo hợp đồng xử lý dữ liệu và các quy định pháp luật hiện hành.

Chi tiết đầy đủ được mô tả trong [Chính sách Quyền riêng tư](https://cystack.net/privacy) của CyStack.

## Báo cáo lỗ hổng bảo mật

CyStack hoan nghênh các nhà nghiên cứu bảo mật báo cáo lỗ hổng theo nguyên tắc **Responsible Disclosure**. Nếu bạn phát hiện lỗ hổng trên bất kỳ sản phẩm hay dịch vụ nào của CyStack, vui lòng gửi báo cáo qua các chương trình Bug Bounty chính thức:

- [Locker Password Manager - Bug Bounty](https://whitehub.net/programs/locker)

- [CyStack & WhiteHub - Bug Bounty](https://whitehub.net/programs/cystack)

### Quy trình xử lý

1. **Xác nhận tiếp nhận:** CyStack gửi phản hồi xác nhận trong vòng 2 ngày làm việc kể từ khi nhận báo cáo.

2. **Đánh giá & Phân loại:** Đội ngũ bảo mật đánh giá mức độ nghiêm trọng và tính hợp lệ của lỗ hổng.

3. **Khắc phục:** Lỗ hổng được ưu tiên xử lý dựa trên mức độ rủi ro. CyStack cập nhật tiến độ cho người báo cáo trong suốt quá trình.

4. **Công nhận:** Các báo cáo hợp lệ được ghi nhận và trao thưởng theo chính sách của từng chương trình.

CyStack yêu cầu người báo cáo không công khai lỗ hổng trước khi đã có bản vá và được CyStack đồng ý. Chúng tôi trân trọng mọi đóng góp giúp cải thiện bảo mật cho sản phẩm và khách hàng của CyStack.

## Liên hệ

Mọi câu hỏi về bảo mật hoặc quyền riêng tư, vui lòng liên hệ: [security@cystack.net](mailto:security@cystack.net)