Chính Sách Bảo Mật

Chứng Nhận và Đánh Giá

Chúng tôi duy trì các chứng nhận bảo mật được công nhận trong ngành và trải qua đánh giá thường xuyên:

• Chứng nhận SOC 2 Type II (đang được tiến hành)
• Kiểm tra thâm nhập của bên thứ ba hàng năm
• Quét lỗ hổng liên tục
• Kiểm toán bảo mật thường xuyên bởi các công ty độc lập

Báo cáo bảo mật chi tiết có sẵn tại apilium.com/security

Luồng Dữ Liệu Mã

Khi bạn sử dụng Apilium Forge IDE, mã của bạn chảy qua cơ sở hạ tầng an toàn của chúng tôi:

• Mã của bạn được mã hóa trong quá trình truyền bằng TLS 1.3
• Các yêu cầu được xử lý thông qua máy chủ backend của chúng tôi được lưu trữ trên AWS
• Xử lý AI được thực hiện bởi các nhà cung cấp mô hình của chúng tôi với thỏa thuận giữ lại bằng không
• Với Chế độ Bảo mật được bật, không có mã văn bản rõ ràng nào được lưu trữ sau khi hoàn thành yêu cầu

Đối Tác Cơ Sở Hạ Tầng

Mã Hóa

Dữ liệu trong Quá trình Truyền: Tất cả dữ liệu được truyền giữa Apilium Forge và máy chủ của chúng tôi được mã hóa bằng TLS 1.3 với bộ mã mạnh

Dữ liệu khi Lưu Trữ: Tất cả dữ liệu được lưu trữ được mã hóa bằng mã hóa AES-256-GCM

Khóa mã hóa được quản lý bằng AWS KMS với xoay vòng tự động mỗi 90 ngày

Đối với khách hàng Doanh nghiệp, chúng tôi cung cấp mã hóa đầu cuối trong đó chỉ bạn giữ khóa giải mã

Kiểm Soát Truy Cập

• Xác thực đa yếu tố (MFA) được yêu cầu cho tất cả tài khoản nhân viên
• Khóa bảo mật phần cứng (FIDO2/WebAuthn) cho truy cập đặc quyền
• Kiểm soát truy cập dựa trên vai trò (RBAC) với nguyên tắc đặc quyền tối thiểu
• Cấp phát truy cập đúng lúc cho các hệ thống sản xuất
• Đánh giá truy cập hàng quý và hủy cấp phép ngay lập tức cho người rời đi
• Cho phép IP và yêu cầu VPN cho truy cập quản trị

Bảo Mật Mạng

• Tường lửa Ứng dụng Web (WAF) với bộ quy tắc tùy chỉnh
• Giảm thiểu DDoS cấp doanh nghiệp (Cloudflare Magic Transit)
• Phân đoạn mạng với mạng con riêng cho các dịch vụ nhạy cảm
• Hệ thống Phát hiện/Ngăn chặn Xâm nhập (IDS/IPS)
• Giám sát lưu lượng mạng và phát hiện bất thường liên tục
• Kiểm tra thâm nhập bên ngoài và bên trong thường xuyên

Bảo Mật Ứng Dụng

• Vòng đời Phát triển Phần mềm An toàn (SSDLC) với các cổng bảo mật
• Đánh giá mã bắt buộc với danh sách kiểm tra tập trung vào bảo mật
• Kiểm tra Bảo mật Ứng dụng Tĩnh (SAST) trong pipeline CI/CD
• Kiểm tra Bảo mật Ứng dụng Động (DAST) cho các ứng dụng được triển khai
• Phân tích Thành phần Phần mềm (SCA) cho các lỗ hổng phụ thuộc
• Đào tạo bảo mật thường xuyên cho tất cả lập trình viên
• Bảo vệ chống lại OWASP Top 10 và SANS Top 25 lỗ hổng

Bảo Mật Ứng Dụng (IDE)

Apilium Forge IDE được xây dựng với bảo mật trong tâm trí:

• Tệp nhị phân được ký mã cho tất cả nền tảng (Windows, macOS, Linux)
• Cập nhật bảo mật tự động với khả năng hoàn nguyên
• Môi trường thực thi tiện ích mở rộng được sandbox
• Mã hóa cục bộ của dữ liệu và thông tin đăng nhập được lưu vào bộ nhớ cache
• Truy cập mạng có thể cấu hình với miền cho phép
• Hỗ trợ .apiliumignore để loại trừ các tệp nhạy cảm khỏi xử lý AI

Đào Tạo Bảo Mật Nhân Viên

Tất cả nhân viên Apilium trải qua đào tạo bảo mật toàn diện:

• Đào tạo nhận thức bảo mật trong quá trình giới thiệu
• Cập nhật và đánh giá đào tạo bảo mật hàng quý
• Bài tập mô phỏng lừa đảo hàng tháng
• Đào tạo bảo mật cụ thể theo vai trò cho kỹ sư
• Bài tập phản hồi sự cố hàng năm trên bàn

Chính Sách Bảo Mật

Chúng tôi duy trì và thực thi các chính sách bảo mật toàn diện:

• Chính sách và Tiêu chuẩn Bảo mật Thông tin
• Chính sách Sử dụng Chấp nhận Được và Kiểm soát Truy cập
• Kế hoạch Phản hồi Sự cố và Giao tiếp
• Kế hoạch Liên tục Kinh doanh và Phục hồi Thảm họa
• Yêu cầu Đánh giá Bảo mật Nhà cung cấp
• Hướng dẫn Phân loại và Xử lý Dữ liệu
• Quy trình Quản lý Thay đổi và Phát hành

Kiểm Tra Nhân Viên

Tất cả nhân viên có quyền truy cập vào dữ liệu khách hàng trải qua kiểm tra lý lịch phù hợp với vai trò và khu vực pháp lý của họ, và ký các thỏa thuận bảo mật.

Tùy Chọn Bảo Mật Doanh Nghiệp

• Triển khai tại chỗ để chủ quyền dữ liệu hoàn toàn
• Cơ sở hạ tầng chuyên dụng được cách ly khỏi khách hàng khác
• Yêu cầu cư trú dữ liệu tùy chỉnh (chỉ EU, các khu vực cụ thể)
• Mang khóa của riêng bạn (BYOK) mã hóa
• Kết nối mạng riêng (AWS PrivateLink, VPN)

Phân Loại Dữ Liệu

Chúng tôi phân loại tất cả dữ liệu dựa trên mức độ nhạy cảm:

• Công khai: Tài liệu tiếp thị, tài liệu công khai
• Nội bộ: Quy trình nội bộ, dữ liệu kinh doanh không nhạy cảm
• Bí mật: Dữ liệu tài khoản khách hàng, giao tiếp hỗ trợ
• Hạn chế: Mã khách hàng, thông tin đăng nhập, cấu hình bảo mật

Sao Lưu và Phục Hồi

Chúng tôi duy trì khả năng sao lưu và phục hồi thảm họa mạnh mẽ:

• Sao lưu được mã hóa, phân tán địa lý
• Phục hồi thời điểm cho cơ sở dữ liệu (lên đến 35 ngày)
• Mục tiêu Thời gian Phục hồi (RTO): 4 giờ
• Mục tiêu Điểm Phục hồi (RPO): 1 giờ
• Kiểm tra phục hồi thảm họa hàng quý
• Khả năng chuyển đổi dự phòng đa khu vực

Quy Trình Phản Hồi Sự Cố

Chúng tôi tuân theo quy trình phản hồi sự cố có cấu trúc:

• Phát hiện: Giám sát và cảnh báo tự động 24/7
• Phân loại: Đánh giá nhóm bảo mật trong vòng 15 phút
• Ngăn chặn: Cách ly ngay lập tức các hệ thống bị ảnh hưởng
• Điều tra: Phân tích nguyên nhân gốc rễ và đánh giá tác động
• Loại bỏ: Loại bỏ mối đe dọa và củng cố hệ thống
• Phục hồi: Khôi phục dịch vụ được kiểm soát
• Hậu kiểm: Bài học kinh nghiệm và cải tiến quy trình

Thông Báo Vi Phạm

Trong trường hợp vi phạm bảo mật ảnh hưởng đến dữ liệu của bạn, chúng tôi cam kết:

• Thông báo cho người dùng bị ảnh hưởng trong vòng 72 giờ kể từ vi phạm được xác nhận
• Cung cấp chi tiết rõ ràng về dữ liệu nào bị ảnh hưởng
• Giải thích các hành động chúng tôi đang thực hiện để giải quyết sự cố
• Cung cấp hướng dẫn về các bước bạn có thể thực hiện để tự bảo vệ mình
• Thông báo cho các cơ quan quản lý liên quan theo yêu cầu của luật
• Cung cấp cập nhật thường xuyên cho đến khi sự cố được giải quyết

Trong Phạm Vi

• Apilium Forge IDE (tất cả nền tảng)
• api.apilium.com và tất cả miền phụ
• portal.apilium.com (Cổng thông tin Khách hàng)
• apilium.com (Trang web)

Cách Báo Cáo

Nếu bạn phát hiện lỗ hổng bảo mật:

• Email [email protected] với thông tin lỗ hổng chi tiết
• Bao gồm các bước để tái tạo, tác động tiềm ẩn và bất kỳ bằng chứng khái niệm nào
• Đối với báo cáo nhạy cảm, sử dụng khóa PGP của chúng tôi (có sẵn trên trang bảo mật của chúng tôi)
• Cho phép tối đa 90 ngày để khắc phục trước khi tiết lộ công khai

Cam Kết Của Chúng Tôi

Chúng tôi cam kết với các nhà nghiên cứu bảo mật:

• Xác nhận nhận trong vòng 24 giờ
• Cung cấp đánh giá ban đầu trong vòng 5 ngày làm việc
• Thông báo cho bạn về tiến độ khắc phục
• Ghi nhận bạn trong lời cảm ơn bảo mật của chúng tôi (trừ khi ưu tiên ẩn danh)
• Không theo đuổi hành động pháp lý cho nghiên cứu bảo mật thiện chí

Chúng tôi cung cấp tiền thưởng cho các lỗ hổng đủ điều kiện. Liên hệ với chúng tôi để biết chi tiết chương trình hiện tại.

Yêu Cầu Bảo Mật Nhà Cung Cấp

Tất cả các nhà cung cấp có quyền truy cập vào dữ liệu khách hàng phải đáp ứng yêu cầu bảo mật của chúng tôi:

• Hoàn thành bảng câu hỏi bảo mật và đánh giá rủi ro
• Chứng nhận SOC 2 Type II hoặc tương đương
• Thỏa thuận Xử lý Dữ liệu (DPA) với các điều khoản tuân thủ GDPR
• Đánh giá bảo mật hàng năm và chứng nhận lại
• Yêu cầu thông báo vi phạm ngay lập tức

Nhà Xử Lý Phụ

Các nhà xử lý phụ hiện tại có quyền truy cập vào dữ liệu khách hàng:

• AWS (Cơ sở hạ tầng) - Hoa Kỳ/EU
• Anthropic, OpenAI (Mô hình AI) - Hoa Kỳ với giữ lại bằng không
• Stripe (Xử lý Thanh toán) - Hoa Kỳ/EU
• Cloudflare (CDN/Bảo mật) - Toàn cầu
• MongoDB Atlas (Cơ sở dữ liệu) - EU
• SendGrid (Email) - Hoa Kỳ

Chúng tôi thông báo cho khách hàng 30 ngày trước khi thêm nhà xử lý phụ mới. Danh sách hiện tại có sẵn tại apilium.com/compliance