Apiframe Logo Apiframe
Home / Bảo mật

Bảo mật

Last updated: 27 tháng 11, 2025

Bản dịch này được cung cấp để thuận tiện. Trong trường hợp có sự khác biệt giữa các bản dịch, phiên bản tiếng Anh sẽ được ưu tiên và có giá trị ràng buộc về mặt pháp lý.

Bảo mật là nền tảng cho mọi thứ chúng tôi xây dựng tại Apiframe. Chúng tôi triển khai các biện pháp bảo mật toàn diện để bảo vệ dữ liệu của bạn và đảm bảo tính toàn vẹn của nền tảng.

Cam kết của chúng tôi: Bảo mật cấp doanh nghiệp, mã hóa end-to-end, kiểm toán thường xuyên và các biện pháp minh bạch. Bảo mật dữ liệu của bạn là ưu tiên hàng đầu của chúng tôi.

1. Bảo mật infrastructure

Cloud infrastructure

Nền tảng của chúng tôi được xây dựng trên cloud infrastructure hàng đầu với:

  • Data centers được chứng nhận SOC 2 Type II
  • Dự phòng địa lý trên nhiều khu vực
  • SLA uptime 99.9%
  • Failover tự động và disaster recovery
  • Bảo vệ và giảm thiểu DDoS

Bảo mật mạng

Chúng tôi bảo vệ mạng của mình thông qua:

  • Web Application Firewall (WAF)
  • Hệ thống phát hiện và ngăn chặn xâm nhập
  • Phân đoạn và cô lập mạng
  • Quét lỗ hổng bảo mật thường xuyên
  • Monitoring và alerting 24/7

2. Mã hóa dữ liệu

Trong quá trình truyền

Tất cả dữ liệu được truyền đến và từ dịch vụ của chúng tôi đều được mã hóa bằng TLS 1.3 với các cipher suites mạnh. Chúng tôi thực thi HTTPS cho tất cả các kết nối và triển khai HSTS (HTTP Strict Transport Security).

Khi lưu trữ

Dữ liệu được lưu trữ trên hệ thống của chúng tôi được mã hóa bằng mã hóa AES-256. Các khóa mã hóa được quản lý thông qua dịch vụ quản lý khóa an toàn với rotation tự động.

Loại dữ liệu Phương thức mã hóa Quản lý khóa
API Traffic TLS 1.3 Rotation tự động
Database AES-256 Quản lý bởi KMS
Backups AES-256 Khóa riêng biệt
API Keys Hash Argon2id Salt per-user

3. Authentication & kiểm soát truy cập

Authentication người dùng

  • Yêu cầu mật khẩu an toàn với hashing bcrypt
  • Hỗ trợ xác thực hai yếu tố (2FA)
  • Quản lý session với tokens an toàn
  • Hết hạn session tự động
  • Rate limiting cho các lần thử đăng nhập

Authentication API

  • API keys duy nhất cho mỗi user/project
  • Key scoping và permissions
  • Request signing cho các thao tác nhạy cảm
  • IP allowlisting (tùy chọn)
  • Key rotation không có downtime

Truy cập nội bộ

Quyền truy cập của nhân viên vào hệ thống production tuân theo nguyên tắc đặc quyền tối thiểu. Tất cả quyền truy cập đều yêu cầu multi-factor authentication và được ghi lại cho mục đích kiểm toán.

4. Bảo mật ứng dụng

Phát triển an toàn

Các biện pháp phát triển của chúng tôi bao gồm:

  • Code reviews tập trung vào bảo mật
  • Security scanning tự động (SAST/DAST)
  • Monitoring lỗ hổng dependencies
  • CI/CD pipelines an toàn
  • Đào tạo bảo mật thường xuyên cho developers

Bảo vệ OWASP Top 10

Chúng tôi chủ động bảo vệ chống lại các lỗ hổng web phổ biến bao gồm injection attacks, broken authentication, XSS, CSRF và các rủi ro OWASP Top 10 khác.

5. Tuân thủ

Chúng tôi duy trì tuân thủ với các tiêu chuẩn và quy định của ngành:

Tiêu chuẩn Trạng thái Mô tả
SOC 2 Type II Tuân thủ Bảo mật, tính khả dụng, tính toàn vẹn xử lý
GDPR Tuân thủ Quy định bảo vệ dữ liệu EU
CCPA Tuân thủ Quyền riêng tư người tiêu dùng California
ISO 27001 Đang tiến hành Quản lý bảo mật thông tin

6. Testing bảo mật

Penetration testing

Chúng tôi tiến hành các penetration test hàng năm được thực hiện bởi các công ty bảo mật bên thứ ba độc lập. Các phát hiện quan trọng được xử lý ngay lập tức, với việc khắc phục đầy đủ được theo dõi và xác minh.

Chương trình Bug Bounty

Chúng tôi duy trì chương trình responsible disclosure cho các nhà nghiên cứu bảo mật. Nếu bạn phát hiện lỗ hổng bảo mật, vui lòng báo cáo đến [email protected].

Responsible Disclosure: Chúng tôi đánh giá cao các nhà nghiên cứu bảo mật giúp chúng tôi duy trì bảo mật nền tảng. Các báo cáo hợp lệ có thể đủ điều kiện nhận sự công nhận và phần thưởng.

7. Phản ứng sự cố

Chương trình phản ứng sự cố của chúng tôi bao gồm:

  • Security monitoring và alerting 24/7
  • Quy trình phản ứng sự cố được ghi lại
  • Team phản ứng sự cố chuyên trách
  • Thông báo khách hàng trong vòng 72 giờ sau khi xác nhận vi phạm
  • Phân tích sau sự cố và cải thiện

8. Quyền riêng tư & lưu giữ dữ liệu

Giảm thiểu dữ liệu

Chúng tôi chỉ thu thập và lưu giữ dữ liệu cần thiết để cung cấp dịch vụ của chúng tôi. Nội dung được tạo không được lưu trữ theo mặc định—outputs được trả về trực tiếp cho bạn và không được lưu trữ trên hệ thống của chúng tôi.

Lưu giữ dữ liệu

  • API logs: 90 ngày
  • Dữ liệu tài khoản: Thời gian tài khoản + 30 ngày
  • Nội dung được tạo: Không lưu giữ (trừ khi opt-in)
  • Hồ sơ thanh toán: Theo yêu cầu của pháp luật

Xóa dữ liệu

Bạn có thể yêu cầu xóa dữ liệu cá nhân của mình bất kỳ lúc nào. Khi xóa tài khoản, chúng tôi xóa tất cả dữ liệu liên quan trong vòng 30 ngày, trừ trường hợp việc lưu giữ là cần thiết vì lý do pháp lý hoặc tuân thủ.

9. Bảo mật bên thứ ba

Chúng tôi xem xét kỹ lưỡng tất cả các dịch vụ bên thứ ba và nhà cung cấp AI model. Đánh giá bảo mật vendor của chúng tôi bao gồm:

  • Bảng câu hỏi bảo mật và xem xét tài liệu
  • Xác minh chứng nhận tuân thủ
  • Thỏa thuận xử lý dữ liệu
  • Đánh giá lại thường xuyên

10. Tính liên tục kinh doanh

Các biện pháp business continuity của chúng tôi đảm bảo độ tin cậy của dịch vụ:

  • Backups tự động với dự phòng địa lý
  • Testing disaster recovery
  • Khả năng deployment multi-region
  • Mục tiêu RTO và RPO đã được xác định

Liên hệ bảo mật

Đối với các yêu cầu liên quan đến bảo mật hoặc báo cáo lỗ hổng:

  • Email: [email protected]
  • Thời gian phản hồi: Trong vòng 24 giờ cho các báo cáo bảo mật

Để được hỗ trợ chung, vui lòng truy cập trang liên hệ của chúng tôi hoặc liên hệ [email protected].