Quản lý nhận diện và truy cập

Chúng tôi cung cấp cơ sở hạ tầng để quản lý tài khoản người dùng thông qua dịch vụ Quản lý nhận diện và truy cập (IAM) bằng cách tạo điều kiện cho:

• Các tùy chọn đăng ký, hủy đăng ký của người dùng và thông số về cách sử dụng các tùy chọn này.
• Chức năng quản lý quyền truy cập của người dùng điện toán đám mây.
• Các kỹ thuật xác thực mạnh như Xác thực đa yếu tố và hạn chế địa chỉ IP.

Bạn có trách nhiệm:

• Thực hiện các biện pháp kiểm soát quản lý truy cập người dùng mạnh mẽ.
• Cấu hình mật khẩu mạnh dựa trên chính sách của tổ chức và bảo vệ mật khẩu.
• Bật Xác thực đa yếu tố cho người dùng của tổ chức.
• Quản lý tài khoản người dùng và đặc quyền - cấu hình vai trò người dùng theo nguyên tắc đặc quyền tối thiểu.
• Xác định quản trị viên tài khoản của tổ chức và có quy trình chuyển nhượng quyền sở hữu phù hợp. Thực hiện các bước cần thiết để đảm bảo rằng tổ chức của bạn không mất quyền kiểm soát tài khoản quản trị viên.
• Định kỳ xem lại danh sách người dùng có quyền truy cập vào dữ liệu và loại bỏ quyền truy cập của bất kỳ ai không nên có quyền đó.
• Thường xuyên xem lại các thiết bị được liên kết với tài khoản người dùng của tổ chức và loại bỏ các thiết bị không sử dụng hoặc không được phép.
• Theo dõi tài khoản người dùng của tổ chức để phát hiện việc truy cập hoặc sử dụng gây hại.
• Thông báo cho Zoho về mọi hoạt động sử dụng trái phép tài khoản của tổ chức bạn.
• Cung cấp kiến thức cho người dùng của bạn về tầm quan trọng của việc quản lý tốt mật khẩu, rủi ro khi tái sử dụng chứng danh, đăng nhập bằng tài khoản mạng xã hội và các cuộc tấn công lừa đảo.

Quản lý dữ liệu

Chúng tôi cung cấp nền tảng để bạn quản lý dữ liệu của mình bằng:

• Tính năng chia sẻ dữ liệu cho quản trị viên và kiểm soát cấp người dùng.
• Tính năng kiểm tra dữ liệu khách hàng để đảm bảo tính minh bạch về các hoạt động quan trọng và theo dõi thay đổi.
• Khả năng tương tác của dữ liệu - tùy chọn để thực hiện sao lưu đầy đủ dữ liệu và cấu hình để di chuyển tất cả hoặc một phần dữ liệu của bạn sang một nhà cung cấp SaaS khác.
• Lưu giữ và hủy bỏ dữ liệu - chúng tôi lưu giữ dữ liệu trong tài khoản của bạn khi bạn vẫn còn sử dụng Zoho Services. Sau khi bạn chấm dứt tài khoản người dùng Zoho, dữ liệu của bạn sẽ bị xóa khỏi cơ sở dữ liệu hiện hoạt trong lần dọn sạch tiếp theo thực hiện mỗi 6 tháng một lần. Dữ liệu bị xóa khỏi cơ sở dữ liệu hiện hoạt đó sẽ bị xóa khỏi bản sao lưu sau 3 tháng.
• Các tính năng hạn chế truy cập để hạn chế nhân viên truy cập vào dữ liệu khách hàng và đảm bảo rằng họ chỉ có thể làm vậy nếu có lý do cụ thể.

Bạn có trách nhiệm:

• Thẩm định trong khi xử lý thông tin thuộc các danh mục đặc biệt (ví dụ: Dữ liệu cá nhân/nhạy cảm) bằng cách áp dụng các biện pháp kiểm soát thích hợp nhằm tuân thủ các yêu cầu của luật pháp hiện hành.
• Cấu hình quyền chia sẻ và xem phù hợp.
• Thường xuyên rà soát các báo cáo kiểm tra để xác định bất kỳ hoạt động khả nghi nào.
• Liên tục cập nhật thông tin liên lạc với Zoho.
• Lấy dữ liệu của bạn ra khỏi hệ thống sau khi bạn ngừng sử dụng các dịch vụ của chúng tôi. Nếu không, dữ liệu sẽ bị xóa vĩnh viễn mà không có bất kỳ khả năng khôi phục nào.

Quản lý dữ liệu truyền cho các bên khác

Chúng tôi nỗ lực trang bị các tích hợp và tiện ích mở rộng an toàn cho các ứng dụng của chúng tôi bằng cách:

• Ứng dụng trong Kho ứng dụng: Thực hiện kiểm tra chức năng, kiểm tra bảo mật và kiểm tra quyền riêng tư sau khi bạn đăng ký ứng dụng với chúng tôi. Đồng thời, chúng tôi cũng thực hiện đánh giá sản phẩm và đánh giá nội dung.
• Đơn vị xử lý phụ: Đánh giá các phương pháp bảo mật và quyền riêng tư của các đơn vị xử lý phụ mà chúng tôi muốn ký hợp đồng để đảm bảo rằng các đơn vị xử lý phụ đáp ứng các tiêu chuẩn bảo mật và quyền riêng tư về thông tin của Zoho. Sau đó chúng tôi sẽ ký kết các thỏa thuận bảo vệ dữ liệu phù hợp với họ.
• Chúng tôi xem xét chính sách bảo mật và điều khoản dịch vụ của nhà cung cấp và đảm bảo hoạt động của họ tuân thủ các điều khoản và chính sách đó.

Chúng tôi mong muốn bạn sẽ:

• Bật hoặc tắt các tích hợp của bên thứ ba sau khi xem xét dữ liệu được chia sẻ với môi trường của bên thứ ba. Bạn phải xem xét các điều khoản và chính sách bảo mật của dịch vụ bên thứ ba liên quan đến việc thu thập, sử dụng hoặc tiết lộ dữ liệu.
• Đánh dấu tùy chọn của bạn về việc bạn có muốn chia sẻ thông tin của mình không với các nhà cung cấp mỗi khi cài đặt tiện ích mở rộng.
• Đánh giá tính phù hợp của ứng dụng trong Kho ứng dụng và tính hợp lý của các quyền được yêu cầu trước khi cài đặt.
• Thông báo cho Zoho về mọi hành vi gây hại xác định được trong ứng dụng của Kho ứng dụng.

Quyền của chủ thể dữ liệu

Chúng tôi chịu trách nhiệm:

• Cung cấp các tính năng cho phép khách hàng phục vụ và bảo vệ quyền cho khách hàng của bạn.
• Thông báo cho bạn về các yêu cầu của khách hàng khi họ liên hệ trực tiếp với chúng tôi để thực hiện quyền của họ.

Bạn có nghĩa vụ:

• Tôn trọng và xử lý yêu cầu từ khách hàng về việc truy cập, chỉnh sửa, xóa dữ liệu và hạn chế xử lý thông tin cá nhân của họ.

Mã hóa

Chúng tôi bảo vệ dữ liệu của bạn bằng cách mã hóa trong quá trình truyền và lưu trữ theo những cách sau:

• Dữ liệu trong khi truyền: Chúng tôi bảo vệ dữ liệu khách hàng được truyền tới máy chủ của chúng tôi qua các mạng lưới công cộng bằng các công cụ mã hóa mạnh mẽ. Chúng tôi bắt buộc tất cả các kết nối đến máy chủ của chúng tôi phải sử dụng mã hóa Bảo mật lớp vận chuyển (TLS 1.2/1.3) với các mật mã mạnh cho tất cả các kết nối, bao gồm truy cập web, truy cập API, ứng dụng di động của chúng tôi và truy cập IMAP/POP/SMTP.
• Dữ liệu trên thiết bị lưu trữ: Dữ liệu khách hàng có tính chất nhạy cảm được mã hóa trên thiết bị lưu trữ bằng thuật toán (AES) 256-bit của Tiêu chuẩn mã hóa nâng cao (AES). Dữ liệu được mã hóa trên thiết bị lưu trữ khác với các dịch vụ bạn chọn. Chúng tôi sở hữu và lưu giữ các khóa bằng Dịch vụ quản lý khóa nội bộ (KMS).

Chúng tôi khuyên bạn nên:

• Xác định nhu cầu mã hóa của bạn. Đối với dữ liệu trên thiết bị lưu trữ, trong nhiều trường hợp khi sử dụng dịch vụ của chúng tôi, bạn có thể phải chịu trách nhiệm xác định trường nào cần được mã hóa.
• Khi dữ liệu từ điện toán đám mây của chúng tôi được tải xuống hoặc xuất vào môi trường của bạn hoặc được đồng bộ hóa trong các tích hợp của Zoho hoặc với bất kỳ tích hợp bên thứ ba nào khác, bạn cần đảm bảo áp dụng các biện pháp kiểm soát mã hóa liên quan. Ví dụ: Bật mã hóa đĩa trên thiết bị của bạn và sử dụng tính năng xuất được bảo vệ bằng mật khẩu, v.v.

Sao lưu

Chúng tôi sở hữu một hệ thống mạnh mẽ để:

• Duy trì các bản sao lưu cấp hệ thống được mã hóa bằng thuật toán AES-256 bit và được lưu trữ an toàn. Tự động chạy kiểm tra tính toàn vẹn và xác thực của bản sao lưu đầy đủ.
• Cho phép yêu cầu khôi phục dữ liệu và cung cấp quyền truy cập an toàn vào dữ liệu trong thời gian lưu giữ. Cung cấp cho khách hàng tính năng xuất và sao lưu dữ liệu của họ.

Về phía bạn, bạn có thể:

• Lên lịch sao lưu dữ liệu, xuất dữ liệu từ các dịch vụ Zoho tương ứng và lưu trữ dữ liệu cục bộ trong cơ sở hạ tầng của bạn nếu cần. Bạn có trách nhiệm lưu trữ dữ liệu theo cách an toàn.

Quản lý sự cố

Về phía chúng tôi, chúng tôi đảm bảo:

• Báo cáo tất cả các sự cố vi phạm mà chúng tôi biết được và liên quan đến bạn cùng thông tin chi tiết về các tác động và hành động phù hợp. Đối với các sự cố cụ thể đối với người dùng cá nhân hoặc tổ chức, chúng tôi sẽ thông báo cho bên liên quan thông qua email được đăng ký với chúng tôi.
• Theo dõi và giải quyết các sự cố như vậy.
• Thực hiện các biện pháp kiểm soát để ngăn chặn các tình huống tương tự tái diễn.
• Nếu được yêu cầu, chúng tôi sẽ cung cấp bằng chứng bổ sung liên quan đến sự cố có liên quan đến bạn.

Chúng tôi mong muốn bạn sẽ:

• Thực hiện các hành động do Zoho đề xuất trong trường hợp có vi phạm.
• Đáp ứng các yêu cầu về tiết lộ và thông báo vi phạm dữ liệu, chẳng hạn như thông báo cho người dùng cuối và cơ quan bảo vệ dữ liệu khi thích hợp.
• Báo cáo các sự cố bảo mật và quyền riêng tư mà bạn biết tới địa chỉ incidents@zohocorp.com.

Nhận thức và đào tạo

Chúng tôi hoàn toàn chịu trách nhiệm:

• Đào tạo nhân viên của chúng tôi để họ có ý thức về bảo mật và tuân thủ tiêu chuẩn phát triển an toàn. Nhân viên mới tuyển dụng phải tham gia khóa đào tạo bắt buộc về bảo mật và quyền riêng tư, đồng thời nhận được các nội dung đào tạo về ý thức bảo mật thường xuyên thông qua email cung cấp thông tin, bài thuyết trình và tài nguyên có trong mạng nội bộ của chúng tôi.
• Đào tạo nhân viên của chúng tôi về cách thức phù hợp để xử lý dữ liệu khách hàng trên dịch vụ đám mây.

Bạn chịu trách nhiệm đào tạo người dùng điện toán đám mây về:

• Tiêu chuẩn và quy trình sử dụng dịch vụ của chúng tôi.
• Cách quản lý rủi ro liên quan đến các dịch vụ của chúng tôi.
• Rủi ro trên hệ thống chung và môi trường mạng.
• Những cân nhắc về pháp lý và quy định hiện hành.

Chính sách và tuân thủ

Chúng tôi tuân thủ bộ hướng dẫn, chẳng hạn như:

• Chúng tôi có chương trình quản lý rủi ro toàn diện và thực hiện hiệu quả các biện pháp kiểm soát.
• Chúng ta hoạt động trong phạm vi luật pháp của nhiều khu vực pháp lý nơi chúng ta hoạt động.
• Chúng ta cung cấp bằng chứng về việc tuân thủ pháp luật hiện hành và dựa trên các yêu cầu hợp đồng của chúng tôi.
• Chúng tôi sẽ hỗ trợ các đánh giá DPIA của khách hàng trong phạm vi được luật pháp hiện hành cho phép.

Chúng tôi mong muốn bạn sẽ:

• Đánh giá các quy định và luật áp dụng cho bạn và xem xét việc chúng tôi tuân thủ các quy định và tiêu chuẩn cần thiết cho doanh nghiệp của bạn. Bạn có thể yêu cầu thông tin bổ sung để làm bằng chứng cho sự tuân thủ của chúng tôi.
• Hiểu rõ các chính sách, phương pháp đánh giá chính sách của chúng tôi và cách chúng tôi xử lý dữ liệu.
• Thực hiện DPIA theo yêu cầu của luật bảo vệ dữ liệu áp dụng cho tổ chức của bạn trước/trong khi xử lý dữ liệu
• Trước khi bạn xử lý bất kỳ dữ liệu cá nhân/nhạy cảm nào, hãy đánh giá cơ sở hợp pháp của bạn. Trong trường hợp cơ sở hợp pháp của bạn là sự đồng ý, hãy đảm bảo bạn nhận được sự đồng ý của khách hàng.
• Đánh giá mức độ phù hợp của các dịch vụ hoạt động trên nền tảng đám mây của chúng tôi dựa trên thông tin mà chúng tôi cung cấp và đảm bảo dịch vụ đáp ứng đủ các nhu cầu tuân thủ của bạn.
• Hiểu hồ sơ rủi ro và mức độ nhạy cảm của dữ liệu được lưu trữ trong các dịch vụ Zoho và áp dụng các biện pháp kiểm soát thích hợp.

Bảo mật dữ liệu

• Chúng tôi chịu trách nhiệm về sự tách biệt dữ liệu của bạn được lưu trữ với chúng tôi. Mỗi dữ liệu dịch vụ của khách hàng được phân tách hợp lý với dữ liệu của những khách hàng khác bằng bộ giao thức bảo mật trong khung.
• Chúng tôi chịu trách nhiệm về tính bảo mật dữ liệu của bạn được lưu trữ với chúng tôi trên thiết bị lưu trữ, khi truyền và trong quá trình xử lý.
• Chúng tôi chịu trách nhiệm về tính toàn vẹn của dữ liệu của bạn và dữ liệu hệ thống như nhật ký và dữ liệu cấu hình.
• Chúng tôi chịu trách nhiệm về khả năng truy xuất nguồn gốc và kiểm soát dữ liệu của bạn, để luôn xác định được vị trí thực tế và quy trình xử lý dữ liệu tại mọi thời điểm cụ thể.

Tính khả dụng

• Chúng tôi chịu trách nhiệm đảm bảo rằng các dịch vụ của chúng tôi luôn khả dụng theo SLA thời gian hoạt động là 99,9% bằng cách xử lý lỗi phần cứng/phần mềm và các mối đe dọa như các cuộc tấn công gây ra tình trạng từ chối dịch vụ.
• Là khách hàng, bạn có thể truy cập status.zoho.com bất cứ lúc nào để xem trạng thái hiện tại của cơ sở cũng như những gián đoạn trong quá khứ.

Liên tục kinh doanh

• Chúng tôi có trách nhiệm chuẩn bị kế hoạch liên tục kinh doanh cho các hoạt động chính như hỗ trợ và quản lý cơ sở hạ tầng.
• Chúng tôi sẽ đảm bảo dữ liệu ứng dụng được lưu trữ trên bộ lưu trữ đàn hồi được sao chép trong các trung tâm dữ liệu. Dữ liệu trong trung tâm dữ liệu chính được sao chép trong trung tâm thứ cấp gần với thời gian thực và chúng tôi có thể chuyển sang trung tâm thứ cấp trong trường hợp có thảm họa.

Kiểm soát mạng

Chúng tôi chịu trách nhiệm vận hành mạng lưới sản xuất an toàn. Chúng tôi sử dụng tường lửa để ngăn chặn truy cập trái phép và lưu lượng truy cập không mong muốn vào mạng lưới của mình. Quyền truy cập vào mạng lưới sản xuất được kiểm soát nghiêm ngặt.

Cơ sở hạ tầng máy chủ

Chúng tôi có trách nhiệm bảo vệ và đảm bảo an toàn cho cơ sở hạ tầng máy chủ. Tất cả máy chủ được cung cấp trong mạng lưới sản xuất sẽ được củng cố tăng cường theo tiêu chuẩn. Các công nghệ quản lý bản vá lỗi hệ điều hành, cấu hình cơ sở và phát hiện xâm nhập Máy chủ được áp dụng để duy trì cơ sở hạ tầng an toàn.

Bảo mật vật lý

Chúng tôi có trách nhiệm đảm bảo cơ sở hạ tầng của chúng tôi được bảo vệ khỏi hoạt động truy cập vật lý, xâm nhập trái phép và thảm họa.