Trang chủ Bảo mật dữ liệu

Bảo mật & an toàn thông tin

Cam kết kỹ thuật và quy trình bảo vệ dữ liệu đào tạo y khoa trên nền tảng MED COMPAS.

ISO/IEC 27001 alignment TLS 1.2+ end-to-end Cập nhật: 17/05/2026

CÔNG TY CỔ PHẦN CÔNG NGHỆ TEX VIỆT NAM áp dụng các biện pháp kỹ thuật và quản trị đa lớp để bảo vệ dữ liệu cá nhân, dữ liệu đào tạo và dữ liệu vận hành trên MED COMPAS. Bảo mật là ưu tiên hàng đầu trong toàn bộ vòng đời phát triển và vận hành sản phẩm.

1. Cam kết bảo mật

  • Tuân thủ pháp luật Việt Nam về an toàn thông tin và bảo vệ dữ liệu cá nhân — Bộ luật Dân sự, Luật An ninh mạng, Luật An toàn thông tin mạng, Luật Công nghệ thông tin — và các văn bản hướng dẫn bao gồm Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
  • Áp dụng nguyên tắc privacy by designdefense in depth trong thiết kế hệ thống.
  • Định hướng phù hợp với khung tham chiếu ISO/IEC 27001 và OWASP Top 10.

2. Mô hình trách nhiệm chia sẻ (Shared Responsibility)

Vì MED COMPAS triển khai trên hạ tầng của Đơn vị triển khai, trách nhiệm bảo mật được phân chia theo mô hình shared responsibility chuẩn industry. Cả hai bên cùng đóng góp để hệ thống an toàn:

Lớp bảo mật TEX-VN
Software Vendor		 Đơn vị triển khai
Đơn vị vận hành
Mã nguồn ứng dụng ✅ Bảo mật mã nguồn, chống OWASP Top 10, kiểm thử SAST/DAST/SCA, vá lỗ hổng định kỳ
Mã hóa ✅ Cài đặt sẵn TLS, mã hóa trường nhạy cảm trong CSDL, hash mật khẩu mạnh ✅ Cấu hình chứng chỉ TLS, quản lý private key, bật disk encryption
Xác thực & phân quyền ✅ Cung cấp framework RBAC, MFA, session management, audit log ✅ Cấp/khóa tài khoản, chính sách mật khẩu, quản lý vòng đời người dùng
Hạ tầng máy chủ & mạng 📋 Tài liệu yêu cầu kỹ thuật & hardening guide Toàn bộ — máy chủ, OS, firewall, WAF, chống DDoS, mạng nội bộ, VPN
Sao lưu & khôi phục 📋 Hướng dẫn schema sao lưu & khôi phục ✅ Thực hiện sao lưu định kỳ, lưu off-site, mã hóa, diễn tập DR
Vật lý & nhân sự ✅ Kiểm soát ra vào datacenter, quản lý nhân sự IT có background check
Phát hiện & phản ứng sự cố 📋 Hỗ trợ điều tra root cause khi nguyên nhân từ phần mềm; ra patch khẩn ✅ Giám sát SOC, phát hiện xâm nhập, ngăn chặn, thông báo chủ thể dữ liệu & cơ quan có thẩm quyền theo Luật ANCM & NĐ 13/2023/NĐ-CP
Truy cập của TEX-VN ✅ Chỉ truy cập khi có yêu cầu hỗ trợ & được Đơn vị triển khai cấp quyền tạm thời, có log đầy đủ, có thể thu hồi bất kỳ lúc nào ✅ Quyết định cấp/thu hồi quyền truy cập, giám sát phiên hỗ trợ
Hệ quả thực tế cho bạn: các phần dưới (sec 3-10) mô tả cam kết kỹ thuật của TEX-VN — những gì phần mềm MED COMPAS đã tích hợp sẵn. Việc các tính năng này có được kích hoạt và cấu hình đúng trên môi trường vận hành thực tế là trách nhiệm của Đơn vị triển khai. Bạn nên trao đổi với quản trị Đơn vị triển khai để biết cấu hình bảo mật cụ thể tại đơn vị mình.

3. Hạ tầng & mạng

  • Triển khai trên hạ tầng cloud có chứng nhận an toàn thông tin và/hoặc on-premise tại trung tâm dữ liệu của tổ chức.
  • Tách biệt môi trường production, staging, development.
  • Tường lửa ứng dụng web (WAF), chống DDoS, giới hạn tốc độ truy cập (rate limiting).
  • Truy cập máy chủ chỉ qua VPN/bastion với xác thực đa yếu tố.

4. Mã hóa dữ liệu

  • Khi truyền: mã hóa toàn bộ kết nối qua HTTPS với TLS 1.2 trở lên, HSTS bật mặc định.
  • Khi lưu trữ: mã hóa ổ đĩa và mã hóa các trường nhạy cảm (mật khẩu, token, CCCD/CMND) ở mức ứng dụng.
  • Mật khẩu: băm bằng thuật toán mạnh (PBKDF2/bcrypt/argon2) với muối ngẫu nhiên — không lưu mật khẩu thuần.
  • Khóa mã hóa: quản lý qua dịch vụ key management, xoay khóa định kỳ.

5. Xác thực & phân quyền

  • Xác thực tập trung qua tài khoản nội bộ hoặc tích hợp SSO/SAML/OAuth2 với hệ thống của tổ chức.
  • Hỗ trợ xác thực đa yếu tố (MFA) cho vai trò quản trị.
  • Phân quyền RBAC chi tiết theo vai trò × tổ chức × bộ môn — nguyên tắc "quyền tối thiểu cần thiết".
  • Phiên đăng nhập có thời hạn, tự động đăng xuất khi không hoạt động.
  • Khóa tài khoản tạm thời sau nhiều lần đăng nhập sai liên tiếp.

6. Ghi nhật ký & giám sát

  • Audit log đầy đủ cho các thao tác quan trọng: tạo/sửa/xóa, đăng nhập, phân quyền, truy xuất dữ liệu nhạy cảm.
  • Log được lưu trữ tách biệt, chỉ đọc, có thời hạn lưu theo quy định.
  • Cảnh báo tự động khi phát hiện hoạt động bất thường (đăng nhập từ vị trí lạ, truy cập nhiều bản ghi liên tiếp...).

7. Sao lưu & khôi phục thảm họa

  • Sao lưu cơ sở dữ liệu hàng ngày, lưu trữ theo chính sách 7-30-365 (hàng ngày / hàng tuần / hàng năm).
  • Sao lưu được mã hóa và lưu tại vị trí địa lý khác với hệ thống chính.
  • RTO/RPO được cam kết trong hợp đồng SLA với từng tổ chức.
  • Diễn tập khôi phục định kỳ để đảm bảo dữ liệu phục hồi được khi cần.

8. Phản ứng sự cố

  • Quy trình xử lý sự cố (Incident Response Plan) được thiết lập với vai trò và thời gian phản hồi rõ ràng.
  • Trong vòng 72 giờ kể từ khi phát hiện vi phạm dữ liệu cá nhân, chúng tôi sẽ thông báo cho cơ quan có thẩm quyền và chủ thể dữ liệu theo Luật An ninh mạng và Nghị định 13/2023/NĐ-CP.
  • Phối hợp với cơ quan chức năng và đơn vị an ninh mạng khi cần điều tra sự cố.

9. Đánh giá & kiểm thử định kỳ

  • Quét lỗ hổng tự động trên mã nguồn và phụ thuộc (SCA, SAST).
  • Kiểm thử xâm nhập (penetration testing) định kỳ và sau mỗi thay đổi lớn.
  • Đánh giá cấu hình hạ tầng và rà soát quyền hạn truy cập tối thiểu hàng quý.

10. Báo cáo lỗ hổng bảo mật (Responsible Disclosure)

TEX-VN trân trọng các báo cáo có trách nhiệm về lỗ hổng bảo mật. Nếu bạn phát hiện vấn đề bảo mật trên MED COMPAS, vui lòng KHÔNG khai thác, KHÔNG công bố công khai, mà gửi báo cáo trực tiếp về đơn vị phát hành qua email kèm:

  • Mô tả chi tiết lỗ hổng và cách tái hiện.
  • Mức độ ảnh hưởng và phạm vi tác động.
  • Đề xuất khắc phục (nếu có).

TEX-VN cam kết phản hồi trong vòng 5 ngày làm việc và sẽ ghi nhận đóng góp của bạn theo chính sách Hall of Fame nếu được đồng ý.

Báo cáo lỗ hổng bảo mật — gửi tới đơn vị phát hành

CÔNG TY CỔ PHẦN CÔNG NGHỆ TEX VIỆT NAM

https://tex.vn