Trong môi trường công nghệ phát triển nhanh, việc thiết lập các chính sách kỹ thuật rõ ràng là cần thiết để bảo vệ tài sản số, đảm bảo an toàn thông tin và sử dụng công nghệ một cách có trách nhiệm. Chính sách này áp dụng cho tất cả nhân viên, đối tác và nhà thầu của Xylentis.
An ninh Mạng
Quy định bảo mật hệ thống và dữ liệu
Mật khẩu: Sử dụng mật khẩu mạnh (tối thiểu 12 ký tự, bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt), không chia sẻ, không dùng lại giữa các hệ thống.
Xác thực đa yếu tố (MFA): Bắt buộc bật 2FA cho tất cả hệ thống quan trọng (email, VPN, cloud, source control).
Truy cập hệ thống: Áp dụng nguyên tắc quyền tối thiểu (Least Privilege) - chỉ cấp quyền truy cập cần thiết cho công việc.
Báo cáo sự cố: Mọi sự cố an ninh nghi ngờ phải được báo cáo ngay lập tức qua kênh bảo mật chỉ định.
Cập nhật phần mềm: Đảm bảo hệ điều hành, phần mềm, browser luôn được cập nhật bản vá bảo mật mới nhất.
Sử dụng AI có Trách nhiệm
Hướng dẫn đạo đức khi sử dụng AI
Tính minh bạch: Phải công bố rõ ràng khi sử dụng AI trong sản phẩm/dịch vụ đưa ra quyết định ảnh hưởng đến người dùng.
Quyền riêng tư dữ liệu: Không nhập dữ liệu khách hàng, thông tin mật vào các công cụ AI công cộng (ChatGPT, Claude, Gemini...) mà không được phê duyệt.
Kiểm tra đầu ra: Code và nội dung do AI tạo ra phải được review kỹ lưỡng trước khi đưa vào sản phẩm.
Tránh thiên lệch: Đánh giá và giảm thiểu bias trong các hệ thống AI được phát triển.
Tuân thủ bản quyền: Không sử dụng AI để tạo nội dung vi phạm bản quyền, nhãn hiệu của bên thứ ba.
Sở hữu Trí tuệ (IP)
Bảo vệ tài sản trí tuệ của công ty
Bảo mật mã nguồn: Source code là tài sản của công ty, không được chia sẻ, sao chép ra bên ngoài khi chưa được phê duyệt.
Thỏa thuận bảo mật (NDA): Ký NDA trước khi tiếp cận thông tin mật của công ty hoặc khách hàng.
Quyền sở hữu sáng chế: Các phát minh, sáng chế tạo ra trong quá trình làm việc thuộc sở hữu của công ty (theo hợp đồng lao động).
Sử dụng phần mềm: Chỉ sử dụng phần mềm có bản quyền hợp pháp hoặc mã nguồn mở với license phù hợp.
Thoái hồi khi nghỉ việc: Trả lại tất cả tài liệu, code, thiết bị khi kết thúc hợp đồng. Không giữ lại bản sao.
Quản lý Dữ liệu
Chính sách thu thập, lưu trữ, xử lý dữ liệu
Thu thập dữ liệu: Chỉ thu thập dữ liệu cần thiết, với sự đồng ý rõ ràng của chủ thể dữ liệu.
Lưu trữ an toàn: Dữ liệu nhạy cảm phải được mã hóa khi lưu trữ (at-rest) và truyền tải (in-transit).
Phân loại dữ liệu: Áp dụng hệ thống phân loại (Public, Internal, Confidential, Restricted) để áp dụng biện pháp bảo vệ phù hợp.
Xử lý và xóa: Có quy trình xử lý yêu cầu truy cập, chỉnh sửa, xóa dữ liệu cá nhân theo luật định.
Tuân thủ quy định: Đảm bảo tuân thủ các quy định như Nghị định 13/2023/NĐ-CP (Việt Nam), GDPR (EU), CCPA (California) nếu áp dụng.
Nguyên tắc Chung
- Không cài đặt phần mềm không được phê duyệt lên thiết bị công ty.
- Không kết nối thiết bị cá nhân vào mạng nội bộ mà không qua VPN/kiểm soát.
- Luôn khóa màn hình khi rời khỏi vị trí làm việc.
- Không sử dụng email công ty cho mục đích cá nhân hoặc đăng ký dịch vụ bên ngoài.
- Báo cáo ngay nếu phát hiện email lừa đảo (phishing).
Liên hệ IT Security
Mọi sự cố hoặc câu hỏi về bảo mật vui lòng liên hệ đội ngũ IT Security.
[email protected]