Chính Sách Bảo Mật Thông Tin

Chính sách này quy định nguyên tắc và biện pháp bảo vệ thông tin, hệ thống, dữ liệu khách hàng và dữ liệu nội bộ mà Vua Sàn Gỗ xử lý trong quá trình vận hành website và hoạt động kinh doanh. Mục tiêu là đảm bảo tính bí mật, toàn vẹn và sẵn sàng (CIA) của thông tin, giảm thiểu rủi ro an ninh mạng và tuân thủ pháp luật hiện hành.

1. Phạm vi áp dụng

Chính sách áp dụng cho toàn bộ nhân sự, cộng tác viên, nhà thầu và đối tác có quyền truy cập hệ thống của Vua Sàn Gỗ; bao gồm website, máy chủ, dịch vụ đám mây, thiết bị đầu cuối, ứng dụng quản trị (CMS/WordPress/WooCommerce), cơ sở dữ liệu và dữ liệu khách hàng.

2. Căn cứ và nguyên tắc

Chúng tôi tuân thủ pháp luật Việt Nam (ví dụ: Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân) và tham chiếu các thông lệ quốc tế phù hợp như ISO/IEC 27001/27002. Nguyên tắc cơ bản: chỉ thu thập tối thiểu, sử dụng đúng mục đích; kiểm soát truy cập theo vai trò; mã hóa khi truyền; sao lưu định kỳ; giám sát và ứng phó sự cố kịp thời.

3. Phân loại dữ liệu

Dữ liệu được phân loại để áp dụng biện pháp phù hợp:

• Công khai: Nội dung marketing, bài viết, tài liệu giới thiệu.
• Nội bộ: Tài liệu quy trình, báo cáo kinh doanh, cấu hình hệ thống.
• Nhạy cảm/riêng tư: Thông tin khách hàng, đơn hàng, thông tin định danh (PII), bí mật kinh doanh. Dữ liệu này chịu biện pháp bảo vệ nghiêm ngặt.

4. Quản lý truy cập & nhận diện

• Áp dụng nguyên tắc tối thiểu (least privilege) và phân quyền theo vai trò (RBAC) cho tài khoản quản trị, biên tập, CSKH, kế toán.
• Bật mã hóa truyền tải (HTTPS/TLS), khuyến nghị 2FA/MFA với tài khoản quản trị và truy cập hạ tầng.
• Chính sách mật khẩu mạnh, xoay vòng định kỳ, khóa tài khoản khi nghi ngờ bị lộ/đăng nhập bất thường.
• Vô hiệu hóa/xóa tài khoản khi nhân sự nghỉ việc hoặc thay đổi vị trí.

5. Bảo mật ứng dụng (WordPress/WooCommerce)

• Cập nhật định kỳ core, theme, plugin; chỉ cài plugin cần thiết, có nguồn tin cậy.
• Bật tường lửa ứng dụng web (WAF), chống brute-force, giới hạn IP/Rate limiting, bật CAPTCHA ở biểu mẫu nhạy cảm (đăng nhập, liên hệ, bình luận).
• Tách quyền biên tập nội dung và quyền kỹ thuật; không dùng tài khoản admin cho tác vụ thường nhật.
• Ẩn phiên bản CMS nơi có thể; tắt liệt kê thư mục; hạn chế thực thi script tại thư mục upload.

6. Bảo mật dữ liệu & mã hóa

• Mã hóa kênh truyền (HTTPS/TLS) cho toàn bộ website và trang quản trị.
• Mật khẩu người dùng được lưu trữ dạng băm (hash) theo chuẩn hệ thống.
• Không lưu trữ số thẻ thanh toán đầy đủ trên hệ thống của chúng tôi; giao dịch được xử lý qua cổng thanh toán bên thứ ba (nếu kích hoạt).
• Thiết lập sao lưu định kỳ (files & database), lưu bản sao tách biệt, kiểm thử khôi phục (restore test) theo lịch.

7. Bảo mật hạ tầng & mạng

• Cấu hình firewall, chỉ mở cổng dịch vụ cần thiết; dùng SSH key thay cho mật khẩu (nếu áp dụng).
• Phân tách môi trường (prod/staging/dev), phân quyền hệ điều hành, cập nhật bản vá bảo mật kịp thời.
• Giám sát log hệ thống/ứng dụng, cảnh báo khi có hành vi bất thường.

8. Thiết bị & làm việc từ xa

• Thiết bị truy cập phải có khóa màn hình, chống mã độc, cập nhật bản vá.
• Không sao chép dữ liệu nhạy cảm ra thiết bị cá nhân nếu chưa được phép; dùng kênh lưu trữ doanh nghiệp.

9. Quản lý nhà cung cấp & bên thứ ba

• Đánh giá bảo mật cơ bản trước khi tích hợp dịch vụ (hosting, CDN, email, thanh toán, phân tích).
• Ràng buộc hợp đồng về bảo mật, bảo vệ dữ liệu, xử lý sự cố và xóa dữ liệu khi chấm dứt hợp tác.
• Nếu dữ liệu được chuyển ra nước ngoài, áp dụng biện pháp bảo vệ tương đương theo quy định pháp luật.

10. Ứng phó sự cố & vi phạm dữ liệu

• Kích hoạt quy trình ứng phó: cô lập, điều tra nguyên nhân, khắc phục, phục hồi dịch vụ.
• Đánh giá phạm vi ảnh hưởng; thông báo cơ quan có thẩm quyền và/hoặc người dùng theo quy định.
• Lưu vết, rút kinh nghiệm và cập nhật biện pháp phòng ngừa tái diễn.

11. Lưu trữ & tiêu hủy dữ liệu

• Lưu trữ theo mục đích và thời hạn tối thiểu cần thiết; tuân thủ quy định kế toán/thuế và bảo hành.
• Tiêu hủy an toàn (xóa an toàn/ghi đè/tiêu hủy vật lý) khi dữ liệu hết mục đích hoặc theo yêu cầu hợp lệ.

12. Đào tạo & nhận thức

Nhân sự được đào tạo định kỳ về an toàn thông tin: nhận diện lừa đảo, bảo mật mật khẩu, xử lý dữ liệu cá nhân, quy trình báo cáo sự cố.

13. Kiểm toán & cải tiến liên tục

Thực hiện kiểm tra định kỳ cấu hình, sao lưu, bản vá; rà soát quyền truy cập; đánh giá rủi ro. Cập nhật chính sách khi có thay đổi công nghệ, pháp luật hoặc quy trình nghiệp vụ.

14. Liên hệ

Mọi yêu cầu liên quan đến bảo mật thông tin, vui lòng liên hệ:
Vua Sàn Gỗ — Điện thoại: 090 434 69 39 — Email: info.vuasango@gmail.com — Website: https://vuasango.com

15. Hiệu lực

Chính sách này có hiệu lực kể từ ngày công bố và có thể được cập nhật theo nhu cầu vận hành và yêu cầu pháp lý. Phiên bản cập nhật sẽ được đăng tải trên Website.

Lưu ý: Đây là bản công khai rút gọn. Bản chi tiết nội bộ cần bổ sung quy trình thao tác chuẩn (SOP), biểu mẫu ứng phó sự cố, ma trận phân quyền, danh mục tài sản thông tin, lịch sao lưu/khôi phục và tiêu chí kiểm soát kỹ thuật cụ thể cho hạ tầng thực tế.