Bảo mật tại Yeeflow

Chứng nhận ISO/IEC 27001

ISO/IEC 27001:2013 là thông số kỹ thuật cho hệ thống quản lý bảo mật thông tin (ISMS), đây là khuôn khổ cho các quy trình quản lý rủi ro thông tin của một tổ chức.

Ứng dụng được chứng nhận của Microsoft

Yeeflow được Microsoft chứng nhận là ứng dụng trực tuyến đáp ứng yêu cầu về Bảo mật và Tuân thủ từ Microsoft Cloud App Security. Thông tin về bảo mật, xử lý dữ liệu và tuân thủ này nhằm mục đích giúp các tổ chức đánh giá và quản lý rủi ro khi sử dụng Yeeflow.

Phụ lục về tuân thủ quyền riêng tư và xử lý dữ liệu

Chúng tôi thực hiện nghiêm túc nghĩa vụ bảo mật của mình — và việc bảo vệ thông tin của bạn — và chúng tôi tuân thủ mọi luật và quy định hiện hành về quyền riêng tư.

Bạn có thể tìm hiểu thêm về chính sách bảo mật của Yeeflow trong Chính sách bảo mật của chúng tôi.

Bảo mật mạng và hệ thống

Khi bạn truy cập trang web Yeeflow hoặc sử dụng một trong các ứng dụng Yeeflow, việc truyền thông tin giữa thiết bị của bạn và máy chủ của chúng tôi được bảo vệ bằng mã hóa TLS 256 bit. Khi không hoạt động, Yeeflow mã hóa dữ liệu bằng AES-256.

Chúng tôi thường xuyên cài đặt các bản cập nhật và bản vá bảo mật để giữ cho máy chủ luôn được cập nhật. Máy chủ được phân đoạn dựa trên vai trò và được bảo vệ bằng tường lửa hạn chế.

Độ tin cậy và độ bền của dịch vụ

Yeeflow sử dụng cơ sở hạ tầng lưu trữ Microsoft Azure hàng đầu trong ngành. Các bản sao lưu được sao chép theo địa lý dự phòng trên nhiều vùng khả dụng để đảm bảo độ bền dữ liệu. Yeeflow duy trì tính liên tục của hoạt động kinh doanh và các kế hoạch phục hồi sau thảm họa. Các thành phần của kế hoạch phục hồi sau thảm họa bao gồm nhiều sổ tay hướng dẫn vận hành trang web, được xem xét và diễn tập thường xuyên. Yeeflow triển khai giám sát dịch vụ mở rộng và nhóm vận hành của chúng tôi trực 24x7x365.

Bảo mật sản phẩm

Trong sản phẩm Yeeflow, quyền cộng tác viên có thể được quản lý ở cấp độ không gian làm việc hoặc cấp độ ứng dụng. Các quyền này cho phép bạn kiểm soát những người bạn chia sẻ không gian làm việc hoặc ứng dụng và liệu họ có thể sửa đổi không gian làm việc hoặc ứng dụng mà bạn đã chia sẻ với họ hay không. Yeeflow cũng cho phép bạn hạn chế quyền truy cập vào dữ liệu và hồ sơ cụ thể bằng quyền quản trị viên hệ thống toàn cầu.

Yeeflow hỗ trợ OAuth 2.0 và Đăng nhập một lần (SSO) dựa trên SAML cùng các tính năng quản trị bổ sung cho các nhóm trong Gói doanh nghiệp.

An ninh tổ chức và thông tin

Yeeflow kiểm tra nhân viên và thực hiện kiểm tra lý lịch theo luật pháp địa phương. Nhân viên hoàn thành khóa đào tạo bảo mật hàng năm bao gồm các chủ đề như quyền riêng tư dữ liệu, bảo mật thông tin và bảo mật mật khẩu.

Máy trạm của nhân viên được cấu hình với mã hóa toàn bộ ổ đĩa, mật khẩu mạnh và khóa tự động. Nhân viên bị cấm cài đặt phần mềm trái phép hoặc sử dụng phương tiện di động.

Bảo mật ứng dụng

Yeeflow chạy quét bảo mật cấp ứng dụng tự động hàng ngày, quét tư vấn bảo mật phụ thuộc gói hàng tuần và quét điểm cuối hàng tháng. Ngoài quét nội bộ, Yeeflow còn thực hiện các cuộc kiểm tra thâm nhập bên ngoài thường xuyên.

Là một phần của quy trình phát triển phần mềm, các thay đổi về mã và cấu hình được xem xét kỹ lưỡng. Trước khi triển khai, những thay đổi này được thử nghiệm trong quá trình đảm bảo chất lượng để giúp đảm bảo trải nghiệm nhất quán trên tất cả các thiết bị, nền tảng và trình duyệt được Yeeflow hỗ trợ.

Tuân thủ Quy định về Quyền riêng tư Dữ liệu

Yeeflow cam kết đáp ứng các quy định về quyền riêng tư dữ liệu toàn cầu, bao gồm Quy định bảo vệ dữ liệu chung (GDPR) và các khuôn khổ liên quan khác. Chiến lược tuân thủ của chúng tôi bao gồm:

Quyền của chủ thể dữ liệu: Yeeflow trao quyền cho khách hàng quản lý quyền của chủ thể dữ liệu theo quy định của GDPR và các quy định về quyền riêng tư tương tự:

• Quyền truy cập: Khách hàng của Yeeflow có toàn quyền kiểm soát việc thiết kế dữ liệu họ lưu trữ trên nền tảng và có thể thiết lập quyền truy cập phù hợp. Tính linh hoạt này cho phép các tổ chức căn chỉnh việc lưu trữ và truy cập dữ liệu với chính sách bảo mật và quyền riêng tư của họ.
• Quyền được lãng quên: Các tổ chức sử dụng Yeeflow có thể xóa dữ liệu người dùng khi cần, đảm bảo xóa hoàn toàn khỏi các hệ thống đang hoạt động và bản sao lưu, tuân thủ các yêu cầu của quy định.
• Tính di động của dữ liệu: Chúng tôi cung cấp các công cụ xuất dữ liệu theo các định dạng thông dụng, cho phép người dùng chuyển dữ liệu của họ theo yêu cầu về tính di động của dữ liệu.

Chuyển dữ liệu xuyên biên giới: Yeeflow được lưu trữ trên trung tâm dữ liệu Microsoft Azure Singapore, nằm ngoài EU:

• Lưu trữ dữ liệu: Trong khi dữ liệu được lưu trữ tại trung tâm dữ liệu Singapore, khách hàng có thể linh hoạt thiết kế các hoạt động quản lý và lưu trữ dữ liệu để đáp ứng các yêu cầu quy định cụ thể.
• Tuân thủ việc chuyển giao: Mặc dù không có trụ sở tại EU, Yeeflow vẫn hỗ trợ việc tuân thủ bằng cách tuân thủ các biện pháp bảo vệ và tiêu chuẩn cần thiết để chuyển dữ liệu xuyên biên giới một cách an toàn.

Xử lý và bảo vệ dữ liệu: Nền tảng của chúng tôi được thiết kế với các biện pháp bảo vệ dữ liệu mạnh mẽ để đảm bảo tuân thủ các quy định về quyền riêng tư toàn cầu:

• Giảm thiểu dữ liệu: Yeeflow cung cấp cho khách hàng sự linh hoạt trong việc xác định dữ liệu nào cần lưu trữ, cho phép họ tuân thủ nguyên tắc giảm thiểu dữ liệu.
• Mã hóa dữ liệu: Tất cả dữ liệu được mã hóa trong quá trình truyền tải bằng các giao thức mã hóa an toàn. Yeeflow cũng cung cấp các trường tùy chỉnh để khách hàng mã hóa dữ liệu cá nhân khi lưu trữ, thêm một lớp bảo mật bổ sung phù hợp với nhu cầu của khách hàng.

Phản hồi về vi phạm dữ liệu: Yeeflow có một giao thức toàn diện để giải quyết các vi phạm dữ liệu tiềm ẩn:

• Thông báo vi phạm: Để tuân thủ GDPR và các quy định về quyền riêng tư dữ liệu khác, Yeeflow cam kết thông báo cho khách hàng bị ảnh hưởng và các cơ quan có thẩm quyền trong vòng 72 giờ kể từ khi xác nhận xảy ra vi phạm.
• Điều tra và giải quyết: Nhóm ứng phó sự cố của chúng tôi sẽ nhanh chóng điều tra mọi sự cố, thực hiện các hành động khắc phục và liên tục thông báo cho khách hàng về tình hình.

Tiếp tục kinh doanh

Yeeflow được thiết kế với chiến lược duy trì hoạt động kinh doanh toàn diện để đảm bảo tính khả dụng của nền tảng và tính toàn vẹn của dữ liệu, ngay cả khi có khả năng xảy ra gián đoạn. Các biện pháp duy trì hoạt động kinh doanh của chúng tôi bao gồm:

Tính khả dụng cao: Kiến trúc của Yeeflow sử dụng tính dự phòng, cân bằng tải và cấu trúc Kiến trúc hướng dịch vụ (SOA) để duy trì tính khả dụng cao:

• Dịch vụ dự phòng: Nền tảng có các dịch vụ logic và front-end dự phòng, được cân bằng bằng Network Load Balancing (NLB) để đảm bảo sao lưu dịch vụ liền mạch. Cấu trúc SOA cho phép linh hoạt và khả năng mở rộng, giảm tác động của lỗi phần cứng hoặc sự cố mạng lên hiệu suất nền tảng.
• Dự phòng cơ sở dữ liệu: Yeeflow sử dụng thiết lập cơ sở dữ liệu chủ-tớ, cho phép sao chép dữ liệu theo thời gian thực. Dự phòng này cho phép truy cập dữ liệu không bị gián đoạn, ngay cả trong trường hợp có sự cố cơ sở dữ liệu chính.

Sao lưu và phục hồi dữ liệu: Bảo vệ dữ liệu của bạn là ưu tiên hàng đầu và chúng tôi đã triển khai chiến lược sao lưu nhiều lớp:

• Sao lưu Binlog theo thời gian thực: Nền tảng của chúng tôi hỗ trợ sao lưu binlog theo thời gian thực để ghi lại những thay đổi đang diễn ra trong cơ sở dữ liệu, đảm bảo dữ liệu có thể được khôi phục tại bất kỳ thời điểm cụ thể nào nếu cần.
• Sao lưu gia tăng hàng ngày: Yeeflow thực hiện sao lưu gia tăng hàng ngày tại các vị trí từ xa để bảo vệ dữ liệu khỏi mất mát, đảm bảo những thay đổi dữ liệu mới nhất được lưu trữ an toàn ngoài cơ sở dữ liệu.
• Sao lưu đầy đủ hàng tuần: Ngoài các bản sao lưu gia tăng, chúng tôi còn tiến hành sao lưu toàn bộ cơ sở dữ liệu hàng tuần tại các địa điểm từ xa để duy trì khả năng bảo vệ dữ liệu toàn diện.
• Ảnh chụp nhanh máy chủ: Ảnh chụp nhanh máy chủ thường xuyên cho phép khôi phục nhanh chóng nền tảng về môi trường được xác định trước trong trường hợp xảy ra sự cố bất ngờ.

Kế hoạch phục hồi sau thảm họa (DRP): Yeeflow có Kế hoạch phục hồi sau thảm họa mạnh mẽ để giải quyết các sự cố gián đoạn hệ thống tiềm ẩn:

• Mục tiêu thời gian phục hồi (RTO): DRP của chúng tôi được thiết kế để khôi phục các dịch vụ nền tảng trong vòng 4-8 giờ, đảm bảo thời gian ngừng hoạt động ở mức tối thiểu và tính liên tục của hoạt động kinh doanh.
• Mục tiêu điểm khôi phục (RPO): Chiến lược sao lưu của Yeeflow nhằm mục đích giảm thiểu mất dữ liệu, với khả năng khôi phục dữ liệu đến thời điểm sao lưu binlog thời gian thực cuối cùng.

DevOps và Cập nhật liên tục: Yeeflow áp dụng các hoạt động DevOps để tạo điều kiện cho việc cập nhật liên tục và triển khai hệ thống:

• Triển khai tự động: Nền tảng của chúng tôi sử dụng quy trình triển khai tự động để đảm bảo các bản cập nhật được triển khai suôn sẻ và ít gây gián đoạn cho người dùng.
• Giám sát và cảnh báo: Yeeflow sử dụng các công cụ giám sát tiên tiến để liên tục theo dõi hiệu suất hệ thống, tự động cảnh báo nhóm của chúng tôi về bất kỳ sự bất thường nào có thể gây ra gián đoạn tiềm ẩn.