Bảo mật

Zoho cung cấp các sản phẩm Phần mềm dưới dạng dịch vụ (SaaS) cho hàng triệu người dùng trên toàn thế giới để giải quyết các vấn đề của doanh nghiệp họ. Bảo mật là yếu tố then chốt trong các dịch vụ của chúng tôi, được thể hiện qua nhân sự, quy trình và sản phẩm của chúng tôi. Trang này bao gồm các chủ đề như bảo mật dữ liệu, bảo mật vận hành và bảo mật vật lý, giải thích cách chúng tôi thực hiện bảo mật cho khách hàng.

Ngày cập nhật: Ngày 12 tháng 7 năm 2020

Tổng quan

Chiến lược bảo mật của chúng tôi gồm các yếu tố sau

  •   Bảo mật tổ chức
  •   Bảo mật vật lý
  •   Bảo mật cơ sở hạ tầng
  •   Bảo mật dữ liệu
  •   Kiểm soát quyền truy cập và nhận diện
  •   Bảo mật vận hành
  •   Quản lý sự cố
  •   Tiết lộ có trách nhiệm
  •   Quản lý nhà cung cấp
  •   Kiểm soát khách hàng vì mục đích bảo mật

Bảo mật tổ chức

Chúng tôi có Hệ thống quản lý bảo mật thông tin (ISMS) chú trọng các mục tiêu bảo mật cũng như rủi ro và giảm thiểu có liên quan đến tất cả các bên quan tâm. Chúng tôi sử dụng các chính sách và quy trình nghiêm ngặt bao gồm bảo mật, tính khả dụng, xử lý, tính toàn vẹn và bảo mật dữ liệu của khách hàng.

Kiểm tra lý lịch nhân viên

Mỗi nhân viên đều trải qua quá trình xác minh lý lịch. Chúng tôi thuê các cơ quan có uy tín bên ngoài để thực hiện kiểm tra thay mình. Sở dĩ chúng tôi phải thực hiện điều này là để xác minh hồ sơ phạm tội, hồ sơ làm việc trước đây nếu có và trình độ học vấn. Trước khi thực hiện kiểm tra này, nhân viên không được giao những nhiệm vụ có thể gây rủi ro cho người dùng. 

Ý thức bảo mật

Mỗi nhân viên khi được tuyển vào đều phải ký thỏa thuận bảo mật và chính sách sử dụng được chấp nhận, sau đó sẽ được đào tạo về bảo mật thông tin, quyền riêng tư và tuân thủ. Ngoài ra, chúng tôi cũng đánh giá sự hiểu biết của họ thông qua các bài kiểm tra và câu hỏi để xác định phương diện nào họ cần đào tạo thêm. Chúng tôi đào tạo về các khía cạnh cụ thể của bảo mật có thể bắt buộc dựa trên vai trò của họ.

Chúng tôi liên tục đào tạo nhân viên của mình về bảo mật thông tin, quyền riêng tư và tuân thủ trong cộng đồng nội bộ nơi nhân viên của chúng tôi ra vào thường xuyên để cập nhật cho họ về các hoạt động bảo mật của tổ chức. Chúng tôi cũng tổ chức các sự kiện nội bộ để nâng cao ý thức và thúc đẩy đổi mới về vấn đề bảo mật và quyền riêng tư.

Đội ngũ chuyên trách bảo mật và quyền riêng tư

Chúng tôi có các nhóm bảo mật và quyền riêng tư chuyên thực hiện và quản lý các chương trình bảo mật và quyền riêng tư của chúng tôi. Đội ngũ này thiết kế và duy trì các hệ thống phòng thủ, phát triển các quy trình đánh giá bảo mật và liên tục theo dõi các mạng lưới của chúng tôi để kịp thời phát hiện hoạt động đáng ngờ. Họ cung cấp dịch vụ tư vấn cụ thể theo miền và hướng dẫn cho đội ngũ kỹ thuật của chúng tôi.

Kiểm toán nội bộ và tuân thủ

Chúng tôi có đội ngũ tuân thủ chuyên đánh giá các quy trình và chính sách trong Zoho để sắp xếp theo các tiêu chuẩn và xác định các biện pháp kiểm soát, quy trình và hệ thống nào là cần thiết để đáp ứng các tiêu chuẩn đó. Đội ngũ này cũng tiến hành kiểm toán nội bộ định kỳ và tạo điều kiện cho các hoạt động kiểm toán và đánh giá độc lập bởi các bên thứ ba.

Để biết thêm chi tiết, vui lòng xem qua chính sách tuân thủ của chúng tôi.

Bảo mật điểm cuối

Tất cả các máy trạm được cấp cho nhân viên Zoho đều chạy phiên bản hệ điều hành được cập nhật và cấu hình bằng phần mềm chống vi-rút. Máy trạm được cấu hình tuân thủ các tiêu chuẩn bảo mật của chúng tôi, nghĩa là tất cả các máy trạm phải được cấu hình, vá lỗi, được theo dõi và giám sát bằng các giải pháp quản lý điểm cuối của Zoho. Các máy trạm này được mặc định bảo mật do được cấu hình để mã hóa dữ liệu trên thiết bị lưu trữ, có mật khẩu mạnh và khóa lại khi không hoạt động. Các thiết bị di động sử dụng cho mục đích kinh doanh phải được đăng ký với hệ thống quản lý thiết bị di động để đảm bảo các thiết bị này đáp ứng tiêu chuẩn bảo mật của chúng tôi.

Bảo mật vật lý

Tại nơi làm việc

Chúng tôi kiểm soát việc tiếp cận tài nguyên của mình (chẳng hạn như các tòa nhà, cơ sở hạ tầng và cơ sở vật chất), trong đó việc tiếp cận bao gồm tiêu thụ, ra vào và sử dụng yêu cầu phải có thẻ truy cập. Chúng tôi cung cấp cho nhân viên, nhà thầu, nhà cung cấp và khách viếng thăm các thẻ truy cập khác nhau chỉ cho phép truy cập theo mục đích cụ thể của họ khi vào cơ sở. Đội ngũ nhân sự (HR) thiết lập và duy trì các mục đích cụ thể theo vai trò. Chúng tôi lưu giữ nhật ký truy cập để phát hiện và giải quyết sự cố bất thường. 

Tại trung tâm dữ liệu

Tại Trung tâm dữ liệu của chúng tôi, bên cung cấp vị trí sẽ chịu trách nhiệm về tòa nhà, làm mát, năng lượng và bảo mật vật lý, còn chúng tôi cung cấp các máy chủ và bộ lưu trữ. Việc tiếp cận các Trung tâm dữ liệu được hạn chế nghiêm ngặt và chỉ cho phép đối với một nhóm nhỏ nhân viên được ủy quyền trước. Mọi truy cập khác được yêu cầu sẽ chỉ được phép sau khi ban quản lý liên quan chấp thuận. Xác thực hai yếu tố và xác thực sinh trắc học bổ sung được yêu cầu khi vào cơ sở. Nhật ký truy cập, hồ sơ hoạt động và phim ghi hình của camera luôn có sẵn trong trường hợp xảy ra sự cố.

Giám sát

Chúng tôi giám sát tất cả các lượt ra và vào trong toàn cơ sở tại mọi trung tâm kinh doanh và trung tâm dữ liệu của mình thông qua các camera quan sát được triển khai theo quy định nội bộ. Phim ghi hình dự phòng có sẵn trong một khoảng thời gian nhất định tùy thuộc vào yêu cầu đối với địa điểm đó.

Bảo mật cơ sở hạ tầng

Bảo mật mạng

Kỹ thuật giám sát và bảo mật mạng của chúng tôi được thiết kế cho mục đích cung cấp nhiều lớp bảo vệ và phòng thủ. Chúng tôi sử dụng tường lửa để ngăn chặn truy cập trái phép và lưu lượng truy cập không mong muốn vào mạng lưới của mình. Hệ thống của chúng tôi được phân loại thành các mạng riêng biệt để bảo vệ dữ liệu nhạy cảm. Các hệ thống hỗ trợ hoạt động thử nghiệm và phát triển được lưu trữ trong một mạng tách biệt với các hệ thống hỗ trợ cơ sở hạ tầng sản xuất của Zoho.

Chúng tôi theo dõi truy cập tường lửa với lịch trình nghiêm ngặt, thường xuyên. Kỹ sư mạng sẽ xem xét tất cả các thay đổi được thực hiện cho tường lửa hàng ngày. Bên cạnh đó, những thay đổi này còn được đánh giá mỗi ba tháng một lần để cập nhật và sửa đổi các quy tắc. Đội ngũ của Trung tâm điều hành mạng chuyên trách của chúng tôi giám sát cơ sở hạ tầng và ứng dụng để phát hiện sự khác biệt hoặc hoạt động đáng ngờ nào. Tất cả các thông số quan trọng được liên tục theo dõi bằng công cụ thuộc sở hữu riêng của chúng tôi và các thông báo được kích hoạt trong trường hợp có hoạt động bất thường hoặc đáng ngờ trong môi trường thực hiện của chúng tôi.

Dự phòng mạng

Tất cả thành phần của nền tảng đều được dự phòng. Chúng tôi sử dụng kiến trúc lưới phân tán để bảo vệ hệ thống và dịch vụ khỏi bị ảnh hưởng trong trường hợp xảy ra lỗi máy chủ. Nếu có lỗi máy chủ, người dùng vẫn có thể hoạt động bình thường vì dữ liệu và dịch vụ Zoho sẽ luôn khả dụng.

Chúng tôi cũng sử dụng nhiều thiết bị chuyển mạch, bộ định tuyến và cổng bảo mật để đảm bảo dự phòng cấp thiết bị. Điều này giúp ngăn các điểm lỗi đơn lẻ trong mạng nội bộ.

Ngăn chặn DDoS

Chúng tôi sử dụng công nghệ từ các nhà cung cấp dịch vụ có uy tín lâu năm và đáng tin cậy để ngăn chặn các cuộc tấn công DDoS trên các máy chủ của mình. Các công nghệ này cung cấp nhiều khả năng giảm thiểu DDoS để ngăn chặn gián đoạn do lưu lượng truy cập xấu gây ra, đồng thời cho phép lưu lượng truy cập tốt đi qua. Nhờ đó, các trang web, ứng dụng và API của chúng tôi luôn sẵn sàng và hoạt động.

Củng cố máy chủ

Tất cả máy chủ dành cho các hoạt động phát triển và thử nghiệm đều được củng cố (bằng cách vô hiệu hóa các cổng và tài khoản không sử dụng, xóa mật khẩu mặc định, v.v.). Ảnh hệ điều hành (OS) cơ sở được tích hợp tăng cường bảo mật máy chủ và ảnh OS này cũng được dự phòng trong các máy chủ để đảm bảo các máy chủ luôn nhất quán.

Phát hiện và ngăn chặn xâm nhập

Cơ chế phát hiện xâm nhập của chúng tôi ghi chú các tín hiệu dựa vào máy chủ trên các thiết bị riêng lẻ và tín hiệu dựa trên mạng lưới từ các điểm giám sát trong máy chủ. Truy cập quản trị, sử dụng các lệnh đặc quyền và cuộc gọi hệ thống trên tất cả các máy chủ trong mạng lưới thực hiện của chúng tôi đều được ghi lại. Các quy tắc và trí tuệ nhân tạo được xây dựng dựa trên dữ liệu này sẽ cảnh báo các kỹ sư bảo mật về các sự cố có thể xảy ra. Ở lớp ứng dụng, WAF độc quyền của chúng tôi hoạt động theo cả quy tắc danh sách trắng và danh sách đen.

Ở cấp độ Nhà cung cấp dịch vụ Internet (ISP), biện pháp bảo mật nhiều lớp được triển khai bằng cách lọc, định tuyến mạng, giới hạn tốc độ và lọc để xử lý các cuộc tấn công từ lớp mạng lưới đến lớp ứng dụng. Hệ thống này cung cấp lưu lượng truy cập sạch, dịch vụ proxy đáng tin cậy và báo cáo nhanh về các cuộc tấn công nếu có. 

Bảo mật dữ liệu

An toàn từ thiết kế

Mọi thay đổi và tính năng mới được điều chỉnh bằng chính sách quản lý thay đổi để đảm bảo tất cả các thay đổi ứng dụng được cho phép trước khi triển khai sản xuất. Chu kỳ phát triển phần mềm (SDLC) của chúng tôi bắt buộc tuân thủ các nguyên tắc mã hóa an toàn cũng như sàng lọc các thay đổi mã cho vấn đề bảo mật tiềm ẩn bằng công cụ phân tích mã, máy quét lỗ hổng và quy trình đánh giá thủ công.

Khung bảo mật mạnh mẽ của chúng tôi dựa trên tiêu chuẩn OWASP được triển khai trong lớp ứng dụng, cung cấp chức năng giảm thiểu các mối đe dọa như tấn công SQL, tấn công bằng cách chèn mã độc vào trang (XSS) và tấn công DOS vào lớp ứng dụng. 

Tách biệt dữ liệu

Khung bảo mật của chúng tôi phân bổ và duy trì không gian điện toán đám mây cho khách hàng. Mỗi dữ liệu dịch vụ của khách hàng được phân tách hợp lý với dữ liệu của những khách hàng khác bằng bộ giao thức bảo mật trong khung. Điều này giúp đảm bảo dữ liệu dịch vụ của khách hàng này sẽ không bị khách hàng khác truy cập.

Dữ liệu dịch vụ sẽ được lưu trữ trên máy chủ của chúng tôi khi bạn sử dụng dịch vụ của chúng tôi. Tuy nhiên, dữ liệu của bạn thuộc sở hữu của bạn chứ không phải của Zoho. Chúng tôi không chia sẻ dữ liệu này với bất kỳ bên thứ ba nào khi chưa có sự đồng ý của bạn.

Mã hóa

Trong khi truyền: Chúng tôi bảo vệ tất cả dữ liệu khách hàng được truyền tới máy chủ của chúng tôi qua các mạng lưới công cộng bằng các công cụ mã hóa mạnh mẽ. Chúng tôi bắt buộc tất cả các kết nối đến máy chủ của chúng tôi phải sử dụng mã hóa Bảo mật lớp vận chuyển (TLS 1.2/1.3) với các mật mã mạnh cho tất cả các kết nối, bao gồm truy cập web, truy cập API, ứng dụng di động và truy cập ứng dụng email IMAP/POP/SMTP. Điều này giúp đảm bảo kết nối an toàn bằng cách cho phép sử dụng phương pháp xác thực của cả hai bên khi kết nối và mã hóa dữ liệu được truyền đi. Ngoài ra, đối với email, các dịch vụ của chúng tôi mặc định tận dụng TLS cơ hội. TLS mã hóa và gửi email một cách an toàn, giảm thiểu việc nghe lén giữa các máy chủ thư nơi các dịch vụ ngang hàng hỗ trợ giao thức này.

Chúng tôi có hỗ trợ đầy đủ cho Bảo mật chuyển tiếp hoàn hảo (PFS) bằng các kết nối đã mã hóa, đảm bảo kể cả khi chúng tôi có thể bị xâm phạm trong tương lai, các liên lạc trước đó cũng không thể giải mã được. Chúng tôi bật tiêu đề Bảo mật truyền tải nghiêm ngặt HTTP (HSTS) cho tất cả các kết nối web. Điều này có nghĩa là mọi trình duyệt hiện đại cũng chỉ kết nối với chúng tôi qua một kết nối đã mã hóa, kể cả khi bạn nhập một URL liên kết đến một trang không an toàn vào trang của chúng tôi. Ngoài ra, trên trang web, chúng tôi gắn cờ tất cả các cookie xác thực là an toàn.

Trên thiết bị lưu trữ: Chúng tôi mã hóa dữ liệu khách hàng trên thiết bị lưu trữ bằng Tiêu chuẩn mã hóa nâng cao 256 bit (AES). Dữ liệu được mã hóa trên thiết bị lưu trữ khác với các dịch vụ bạn chọn. Chúng tôi sở hữu và lưu giữ các khóa bằng Dịch vụ quản lý khóa nội bộ (KMS). Chúng tôi còn cung cấp thêm các lớp bảo mật bổ sung bằng cách mã hóa khóa mã hóa dữ liệu bằng khóa chủ. Khóa chủ và khóa mã hóa dữ liệu được phân tách vật lý và cất giữ ở các máy chủ khác nhau với quyền truy cập giới hạn nghiêm ngặt.

Vui lòng nhấp vào đây để biết thông tin chi tiết về mã hóa tại Zoho và nhấp vào đây để tìm hiểu về những dữ liệu chúng tôi mã hóa trong các dịch vụ của mình.

Lưu giữ và hủy bỏ dữ liệu

Chúng tôi lưu giữ dữ liệu trong tài khoản của bạn khi bạn vẫn còn sử dụng Zoho Services. Sau khi chấm dứt tài khoản người dùng Zoho, dữ liệu của bạn sẽ bị xóa khỏi cơ sở dữ liệu hiện hoạt trong lần dọn sạch tiếp theo thực hiện mỗi 6 tháng một lần. Dữ liệu bị xóa khỏi cơ sở dữ liệu hiện hoạt đó sẽ bị xóa khỏi bản sao lưu sau 3 tháng. Trong trường hợp tài khoản chưa thanh toán của bạn không hoạt động trong thời gian 120 ngày liên lục, chúng tôi sẽ chấm dứt tài khoản đó sau khi gửi thông báo trước và tùy chọn sao lưu dữ liệu cho bạn.

Nhà cung cấp được ủy quyền và xác thực sẽ tiến hành hủy bỏ những thiết bị không sử dụng. Tuy nhiên, chúng tôi vẫn phân loại và lưu trữ dữ liệu ở một nơi an toàn cho đến thời điểm bị hủy bỏ. Mọi thông tin có trong các thiết bị này sẽ được định dạng trước khi hủy bỏ. Chúng tôi khử từ ổ đĩa cứng bị lỗi và sau đó phá hủy vật lý bằng máy hủy tài liệu. Chúng tôi xóa bằng mật mã và hủy các thiết bị thể rắn bị lỗi (SSD).

Kiểm soát nhận diện và truy cập

Đăng nhập một lần (SSO)

Zoho cung cấp tính năng đăng nhập một lần (SSO) để người dùng truy cập nhiều dịch vụ trên cùng một trang đăng nhập và chứng danh xác thực. Khi bạn đăng nhập vào bất kỳ dịch vụ Zoho nào, tính năng này chỉ hoạt động qua dịch vụ Quản lý nhận diện và truy cập (IAM) tích hợp của chúng tôi. Chúng tôi cũng hỗ trợ SAML cho đăng nhập một lần để khách hàng tích hợp nhà cung cấp danh tính của họ như LDAP, ADFS khi đăng nhập vào Zoho Services

Đăng nhập một lần đơn giản hóa quá trình đăng nhập, đảm bảo tính tuân thủ, kiểm soát quyền truy cập và báo cáo hiệu quả, giảm thiểu rủi ro mật khẩu không đủ mạnh và mật khẩu yếu.

Xác thực đa yếu tố

Cung cấp thêm một lớp bảo mật bằng cách yêu cầu xác minh bổ sung mà người dùng bắt buộc phải có ngoài mật khẩu. Điều này có thể giảm đáng kể nguy cơ truy cập trái phép nếu mật khẩu của người dùng bị xâm phạm. Bạn có thể cấu hình xác thực đa yếu tố bằng Zoho One-Auth. Hiện tại, các chế độ khác nhau như Cảm biến vân tay sinh trắc học hoặc Nhận dạng khuôn mặt, Thông báo theo thời gian thực, mã QR và OTP theo thời gian đã được hỗ trợ.

Chúng tôi cũng hỗ trợ Khóa bảo mật phần cứng Yubikey để xác thực đa yếu tố.

Truy cập quản trị

Chúng tôi sử dụng các biện pháp kiểm soát truy cập kỹ thuật và chính sách nội bộ để cấm nhân viên tự ý truy cập dữ liệu người dùng. Chúng tôi tuân thủ các nguyên tắc về đặc quyền tối thiểu và quyền dựa trên vai trò để giảm thiểu rủi ro dữ liệu bị tiết lộ.

Quyền truy cập vào môi trường sản xuất được bảo vệ bằng một thư mục trung tâm và xác thực bằng cách kết hợp mật khẩu mạnh, xác thực hai yếu tố và khóa SSH được bảo vệ bằng cụm mật khẩu. Bên cạnh đó, chúng tôi tạo điều kiện truy cập qua một mạng riêng với các quy tắc chặt chẽ hơn và các thiết bị được củng cố tăng cường. Đồng thời, chúng tôi còn ghi lại tất cả các hoạt động và kiểm tra theo định kỳ.

Bảo mật vận hành

Ghi lại và giám sát

Chúng tôi giám sát và phân tích thông tin thu thập từ các dịch vụ, lưu lượng truy cập nội bộ trong mạng lưới và việc sử dụng các thiết bị cũng như thiết bị đầu cuối. Chúng tôi ghi lại thông tin này trong biểu mẫu nhật ký sự kiện, nhật ký kiểm tra, nhật ký lỗi, nhật ký quản trị viên và nhật ký người vận hành. Các nhật ký này sẽ tự động được giám sát và phân tích ở mức độ hợp lý, giúp chúng tôi phát hiện các bất thường như hoạt động khác thường trong tài khoản nhân viên hoặc cố gắng truy cập dữ liệu khách hàng. Chúng tôi lưu trữ các nhật ký này trong một máy chủ an toàn tách biệt khỏi toàn bộ hệ thống, để quản lý kiểm soát quyền truy cập trung tâm và đảm bảo luôn khả dụng. 

Nhật ký kiểm tra chi tiết bao gồm tất cả các hoạt động cập nhật và xóa do người dùng thực hiện luôn có sẵn cho khách hàng trong mọi dịch vụ của Zoho.

Quản lý lỗ hổng

Chúng tôi có quy trình quản lý lỗ hổng chuyên dụng, chủ động quét các mối đe dọa bảo mật bằng cách kết hợp các công cụ quét bên thứ ba được chứng nhận, công cụ nội bộ và phương pháp kiểm tra thâm nhập tự động và thủ công. Hơn nữa, nhóm bảo mật của chúng tôi chủ động xem xét các báo cáo bảo mật nội bộ và theo dõi danh sách gửi thư công khai, bài đăng trên blog và wiki để phát hiện các sự cố bảo mật có thể ảnh hưởng đến cơ sở hạ tầng của công ty.

Khi xác định được lỗ hổng cần phải khắc phục, chúng tôi sẽ ghi lại, ưu tiên theo mức độ nghiêm trọng và thông báo cho chủ sở hữu. Chúng tôi tiếp tục xác định các rủi ro liên quan và theo dõi lỗ hổng cho đến khi nó được vá lại bằng cách vá các hệ thống có lỗ hổng hoặc áp dụng các biện pháp kiểm soát có liên quan.

Chống phần mềm độc hại và thư rác

Chúng tôi quét tất cả tập tin người dùng bằng hệ thống quét tự động của chúng tôi, được thiết kế để ngăn chặn phần mềm độc hại phát tán thông qua hệ sinh thái của Zoho. Công cụ chống phần mềm độc hại tùy chỉnh của chúng tôi được cập nhật thường xuyên từ các nguồn thông tin về mối đe dọa bên ngoài và quét các tập tin để phát hiện chữ ký và các mẫu độc hại trong danh sách đen. Hơn nữa, công cụ phát hiện độc quyền của chúng tôi đi kèm với các kỹ thuật học máy, đảm bảo dữ liệu của khách hàng được bảo vệ khỏi phần mềm độc hại. 

Zoho hỗ trợ Xác thực tin nhắn dựa trên tên miền, Báo cáo và Tuân thủ (DMARC) như một cách để ngăn chặn thư rác. DMARC sử dụng SPF và DKIM để xác minh các tin nhắn là xác thực. Chúng tôi cũng sử dụng công cụ phát hiện độc quyền của mình nhằm phát hiện việc lạm dụng dịch vụ Zoho để lừa đảo và tạo thư rác. Ngoài ra, chúng tôi có một nhóm chống thư rác chuyên theo dõi các tín hiệu từ phần mềm và xử lý các khiếu nại lạm dụng.
Để biết thêm thông tin, vui lòng nhấp vào đây

Sao lưu

Chúng tôi chạy sao lưu gia tăng hàng ngày và sao lưu đầy đủ cơ sở dữ liệu của chúng tôi hàng tuần bằng Bảng điều khiển dành cho quản trị viên của Zoho (ZAC) cho các trung tâm dữ liệu của Zoho. Dữ liệu sao lưu trong một trung tâm dữ liệu được lưu trữ ở cùng một vị trí và được mã hóa bằng thuật toán AES-256 bit. Chúng ta lưu trữ dữ liệu ở định dạng tar.gz. Tất cả dữ liệu sao lưu được lưu giữ trong ba tháng. Nếu khách hàng yêu cầu phục hồi dữ liệu trong thời gian lưu giữ, chúng tôi sẽ khôi phục dữ liệu và cấp quyền truy cập an toàn cho họ. Lịch trình để khôi phục dữ liệu phụ thuộc vào kích cỡ dữ liệu và độ phức tạp liên quan.

Để đảm bảo an toàn cho dữ liệu được sao lưu, chúng tôi sử dụng một hệ thống đĩa độc lập dự phòng (RAID) trong máy chủ sao lưu. Tất cả các bản sao lưu được lên lịch và theo dõi thường xuyên. Trong trường hợp xảy ra lỗi, việc chạy lại sẽ được khởi tạo và được khắc phục ngay lập tức. Công cụ ZAC tự động thực hiện kiểm tra tính toàn vẹn và xác thực của bản sao lưu đầy đủ.

Về phía bạn, chúng tôi khuyên bạn nên lên lịch sao lưu dữ liệu thường xuyên bằng cách xuất dữ liệu từ các dịch vụ Zoho tương ứng và lưu trữ dữ liệu cục bộ trong cơ sở hạ tầng của bạn.

Phục hồi sau sự cố và liên tục kinh doanh

Dữ liệu ứng dụng được lưu trữ trên bộ lưu trữ đàn hồi được sao chép trong các trung tâm dữ liệu. Dữ liệu trong trung tâm dữ liệu chính được sao chép trong trung tâm thứ cấp gần thời gian thực. Trong trường hợp trung tâm dữ liệu chính bị lỗi, trung tâm dữ liệu thứ cấp sẽ đảm nhận và duy trì vận hành suôn sẻ mà chỉ cần rất ít hoặc thậm chí không mất thêm thời gian. Cả hai loại trung tâm đều được trang bị nhiều ISP.

Chúng tôi có nguồn điện dự phòng, hệ thống kiểm soát nhiệt độ và hệ thống phòng cháy chữa cháy là các biện pháp vật lý để đảm bảo liên tục kinh doanh. Những biện pháp này giúp chúng tôi có khả năng ứng phó linh hoạt. Ngoài dự phòng dữ liệu, chúng tôi còn có kế hoạch liên tục kinh doanh đối với các hoạt động chính của mình như hỗ trợ và quản lý cơ sở hạ tầng.

Quản lý sự cố

Báo cáo

Chúng tôi có một đội ngũ quản lý sự cố chuyên trách. Chúng tôi sẽ thông báo về các sự cố trong môi trường của chúng tôi liên quan đến bạn, cùng với các hành động phù hợp có thể bạn cần phải thực hiện. Chúng tôi theo dõi và hoàn tất giải quyết các sự cố bằng các hành động khắc phục thích hợp. Bất cứ khi nào có thể, chúng tôi sẽ xác định, thu thập, thu nhận và cung cấp cho bạn bằng chứng cần thiết dưới dạng hồ sơ ứng dụng và nhật ký kiểm tra về các sự cố có liên quan đến bạn. Đồng thời thực hiện các biện pháp kiểm soát để ngăn chặn các tình huống tương tự tái diễn.

Chúng tôi luôn phản hồi các sự cố về bảo mật hoặc quyền riêng tư mà bạn báo cáo cho chúng tôi qua incidents@zohocorp.com với mức độ ưu tiên cao. Đối với các sự cố chung, chúng tôi sẽ thông báo cho người dùng thông qua blog, diễn đàn và mạng xã hội của mình. Đối với các sự cố cụ thể xảy ra cho một người dùng cá nhân hoặc một tổ chức, chúng tôi sẽ thông báo cho bên liên quan qua email (sử dụng địa chỉ email chính của họ mà quản trị viên tổ chức đã đăng ký với chúng tôi).

Thông báo vi phạm

Với tư cách là bên kiểm soát dữ liệu, chúng tôi sẽ thông báo cho Cơ quan bảo vệ dữ liệu liên quan về vi phạm đó trong vòng 72 giờ sau khi được biết theo Quy định bảo vệ dữ liệu chung (GDPR). Tùy yêu cầu cụ thể, chúng tôi cũng thông báo cho khách hàng khi cần thiết. Là bên xử lý dữ liệu, chúng tôi sẽ thông báo cho các bên thu thập dữ liệu liên quan ngay lập thức. 

Tiết lộ có trách nhiệm

Chương trình báo cáo lỗ hổng bảo mật trong chương trình "Bug Bounty" tiếp cận cộng đồng các nhà nghiên cứu đã được ra mắt nhằm ghi nhận và trao thưởng cho những nỗ lực của các nhà nghiên cứu bảo mật. Chúng tôi cam kết làm việc với cộng đồng này để xác minh, tái tạo, phản hồi, ghi nhận và triển khai các giải pháp phù hợp đối với các lỗ hổng được báo cáo.

Nếu bạn phát hiện vấn đề bất kỳ, vui lòng gửi tại https://bugbounty.zoho.com/. Nếu bạn muốn báo cáo trực tiếp về các lỗ hổng, vui lòng gửi thư cho chúng tôi qua địa chỉ security@zohocorp.com. 

Quản lý đại lý và nhà cung cấp bên thứ ba

Chúng tôi đánh giá và tuyển lựa các nhà cung cấp dựa trên chính sách quản lý nhà cung cấp của mình. Chúng tôi tiếp nhận các nhà cung cấp mới sau khi hiểu các quy trình của họ để cung cấp dịch vụ cho chúng tôi và thực hiện các đánh giá rủi ro. Chúng tôi sẽ thực hiện các bước thích hợp để đảm bảo quan điểm lập trường về bảo mật của mình được duy trì bằng cách thiết lập thỏa thuận yêu cầu nhà cung cấp tuân thủ các cam kết về bảo mật, tính sẵn có và toàn vẹn mà chúng tôi đã thực hiện với khách hàng. Chúng tôi giám sát hoạt động hiệu quả của quy trình tổ chức và các biện pháp bảo mật bằng cách tiến hành đánh giá định kỳ các biện pháp kiểm soát của họ.

Kiểm soát khách hàng vì mục đích bảo mật

Cho đến nay, chúng tôi vẫn thảo luận về những gì chúng cần tôi làm để bảo mật cho khách hàng trên nhiều phương diện khác nhau. Dưới đây là những điều mà bạn, với tư cách là khách hàng, có thể làm để đảm bảo tính bảo mật từ phía bạn:

  •   Chọn một mật khẩu đặc biệt, mạnh mẽ và bảo vệ mật khẩu đó.
  •   Sử dụng xác thực đa yếu tố
  •   Sử dụng các phiên bản trình duyệt mới nhất, hệ điều hành di động và các ứng dụng di động được cập nhật để đảm bảo đã được vá để chống lại các lỗ hổng và tận dụng các tính năng bảo mật mới nhất
  •   Thực hiện các biện pháp đề phòng hợp lý khi chia sẻ dữ liệu từ môi trường điện toán đám mây của chúng tôi.
  •   Phân loại thông tin thành thông tin cá nhân hoặc thông tin nhạy cảm và gắn nhãn phù hợp.
  •   Giám sát các thiết bị được liên kết với tài khoản của bạn, các phiên web đang hoạt động và quyền truy cập của bên thứ ba để phát hiện bất thường trong các hoạt động trên tài khoản và quản lý vai trò và đặc quyền đối với tài khoản của bạn.
  •   Nhận biết các mối đe dọa lừa đảo và phần mềm độc hại bằng cách săn tìm các email, trang web và liên kết lạ có thể khai thác thông tin nhạy cảm của bạn bằng cách mạo danh Zoho hoặc các dịch vụ khác mà bạn tin tưởng.

Để tìm hiểu thêm về cách bạn có thể làm việc với Zoho để đạt được môi trường điện toán đám mây an toàn, hãy đọc tài nguyên của chúng tôi về Hiểu về trách nhiệm chung với Zoho. Chúng tôi cung cấp phân tích chi tiết về mô hình trách nhiệm chung và cách khách hàng của chúng tôi và Zoho có thể cộng tác cũng như chịu trách nhiệm cá nhân đối với tính bảo mật và quyền riêng tư trên điện toán đám mây.

Kết luận

Bảo mật dữ liệu là quyền lợi của bạn và là nhiệm vụ bất tận của Zoho. Chúng tôi sẽ tiếp tục nỗ lực làm việc để bảo vệ an toàn cho dữ liệu của bạn theo cách chúng tôi vẫn làm. Nếu bạn có thêm câu hỏi về chủ đề này, hãy xem Câu hỏi thường gặp hoặc gửi thư cho chúng tôi theo địa chỉ security@zohocorp.com.