Bảo mật & Quyền riêng tư

Cách chúng tôi thiết kế bảo mật và quyền riêng tư

Tại AgenticLab, bảo mật và quyền riêng tư là yêu cầu nền tảng — không phải tính năng bổ sung. ThesisMentor AI hiện đang ở giai đoạn nguyên mẫu nội bộ; trang này tóm tắt các **nguyên tắc thiết kế** và các chuẩn mực mà chúng tôi đang theo đuổi để chuẩn bị cho giai đoạn triển khai thực địa. Các chứng nhận bên thứ ba (ISO 27001, SOC 2, v.v.) chưa được thực hiện; chúng tôi sẽ cập nhật minh bạch khi các chứng nhận này được cấp.

Nguyên tắc bảo mật cốt lõi

Mã hóa toàn diện

Dữ liệu được mã hóa khi truyền (TLS 1.2+) và khi lưu trữ (AES-256). Khóa mã hóa được quản lý theo nguyên tắc tách biệt vai trò.

Kiểm soát truy cập theo vai trò

Hệ thống áp dụng RBAC (Role-Based Access Control) với 4 vai trò chính. Mỗi truy cập được ghi nhật ký phục vụ kiểm tra.

Chủ quyền dữ liệu

Khách hàng giữ quyền sở hữu dữ liệu của mình. Có thể yêu cầu xuất, ẩn danh hoặc xóa dữ liệu bất kỳ lúc nào theo các nguyên tắc của GDPR.

Sao lưu & Khôi phục

Sao lưu định kỳ tự động với điểm khôi phục được xác minh. Quy trình Disaster Recovery được kiểm thử định kỳ.

Minh bạch trong sử dụng AI

Mọi tương tác AI đều có nhật ký. Nội dung của khách hàng không được dùng để huấn luyện các mô hình nền tảng (foundation models).

Hạ tầng đám mây tin cậy

Thiết kế vận hành trên hạ tầng đám mây cấp doanh nghiệp (Google Cloud / AWS / Azure) — tận dụng chứng nhận SOC 2 và ISO 27001 của nhà cung cấp ở tầng hạ tầng.

Thực hành bảo mật

Chúng tôi áp dụng các thực hành bảo mật chuẩn ngành xuyên suốt vòng đời phát triển sản phẩm:

Đánh giá bảo mật định kỳ và quét lỗ hổng tự động.
Quản lý phụ thuộc (dependency) với giám sát CVE liên tục.
Quy trình Code Review bắt buộc trước khi triển khai.
Phân tách môi trường Production / Staging / Development.
Giới hạn tốc độ (rate limiting) và bảo vệ chống lạm dụng API.
Kế hoạch ứng phó sự cố (Incident Response) đang được hoàn thiện cho giai đoạn GA.

Định hướng tuân thủ

Thiết kế bám sát Luật An ninh mạng và Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân tại Việt Nam.

Tham chiếu các nguyên tắc cốt lõi của GDPR cho khách hàng quốc tế trong tương lai.

Cam kết về tính liêm chính học thuật và minh bạch trong sử dụng AI cho khách hàng giáo dục.

Chưa hoàn thiện kiểm toán bên thứ ba (ISO 27001, SOC 2). Chúng tôi sẽ cập nhật khi đạt được các chứng nhận này.

Liên hệ về bảo mật

Để báo cáo vấn đề bảo mật, yêu cầu thông tin về tuân thủ, hoặc thảo luận về Data Processing Agreement (DPA), vui lòng liên hệ:

hmphuc@agenticlab.vn

Cách chúng tôi thiết kế bảo mật và quyền riêng tư

Thực hành bảo mật

Chúng tôi áp dụng các thực hành bảo mật chuẩn ngành xuyên suốt vòng đời phát triển sản phẩm:

Đánh giá bảo mật định kỳ và quét lỗ hổng tự động.

Quản lý phụ thuộc (dependency) với giám sát CVE liên tục.

Quy trình Code Review bắt buộc trước khi triển khai.

Phân tách môi trường Production / Staging / Development.

Giới hạn tốc độ (rate limiting) và bảo vệ chống lạm dụng API.

Kế hoạch ứng phó sự cố (Incident Response) đang được hoàn thiện cho giai đoạn GA.

Định hướng tuân thủ

Thiết kế bám sát Luật An ninh mạng và Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân tại Việt Nam.

Tham chiếu các nguyên tắc cốt lõi của GDPR cho khách hàng quốc tế trong tương lai.

Cam kết về tính liêm chính học thuật và minh bạch trong sử dụng AI cho khách hàng giáo dục.

Chưa hoàn thiện kiểm toán bên thứ ba (ISO 27001, SOC 2). Chúng tôi sẽ cập nhật khi đạt được các chứng nhận này.