I. Chính sách tiếp nhận và báo cáo lỗ hổng, điểm yếu
ĐIỀU 1. MỤC ĐÍCH VÀ PHẠM VI
- Mục đích
- Tạo ra một quy trình cụ thể để cho tất cả các nhân viên, người dùng, đối tác, và bên thứ ba có liên quan báo cáo về các lỗ hổng bảo mật mà họ phát hiện trong hệ thống, ứng dụng hoặc dịch vụ của Công ty cổ phần An ninh mạng thông minh SCS.
- Tạo ra một kênh thông tin an toàn và tin cậy cho tất cả các nhân viên, người dùng, đối tác, và bên thứ ba có liên quan báo cáo về các lỗ hổng mà họ phát hiện được. Thay vì tìm cách tận dụng lỗ hổng đó để gây hại, khách hàng/người dùng có thể thông báo cho Công ty cổ phần An ninh mạng thông minh SCS để có thể khắc phục và bảo vệ trước khi lỗ hổng đó được sử dụng bởi kẻ tấn công.
- Tăng cường lòng tin từ phía khách hàng và người dùng: Một quy trình minh bạch và an toàn giúp tạo dựng lòng tin từ khách hàng, người dùng và các đối tác, cho thấy công ty luôn chú trọng đến bảo mật và an ninh mạng.
- Phạm vi
Chính sách này áp dụng cho tất cả các nhân viên, người dùng, đối tác, và bên thứ ba có liên quan đến hệ thống thông tin của Công ty cổ phần An ninh mạng thông minh SCS. Mọi lỗ hổng và điểm yếu được phát hiện trong hệ thống đều cần phải được báo cáo và xử lý kịp thời theo quy trình trong chính sách này.
- Định nghĩa và phân loại
Định nghĩa:
Lỗ hổng là các điểm yếu mà kẻ tấn công có thể lợi dụng khai thác để truy cập trái phép và gây tổn hại đến hệ thống.
Phân loại dựa trên mức độ:
- Lỗ hổng nghiêm trọng: Việc khai thác rất đơn giản và thường dẫn đến hậu quả ở cấp hệ thống.
- Lỗ hổng cao: Việc khai thác khó khăn hơn nhưng có thể gây ra các đặc quyền nâng cao và có khả năng bị mất dữ liệu hoặc ngừng hoạt động.
- Lỗ hổng trung bình: Các lỗ hổng tồn tại nhưng không thể khai thác được hoặc yêu cầu các bước bổ sung.
- Lỗ hổng thấp: Các lỗ hổng không thể khai thác được nhưng sẽ làm giảm bề mặt tấn công của tổ chức.
ĐIỀU 2. QUY TRÌNH BÁO CÁO
- Khách hàng báo cáo qua các kênh báo cáo
Khách hàng hoặc người dùng có thể báo cáo lỗ hổng bảo mật thông qua các kênh liên lạc chính thức của Công ty cổ phần An ninh mạng thông minh SCS. Các kênh này bao gồm:
- Gửi email trực tiếp đến địa chỉ email liên hệ của SCS: [email protected]
- Gọi điện thoại đến đường dây Hotline của SCS: 1900 3250
- Sử dụng ứng dụng Zalo OA để nhắn tin trực tiếp với Hotline của SCS: 1900 3250
- SCS yêu cầu thông tin cần thiết
Khách hàng/ Người dùng cần cung cấp các thông tin sau đây khi gửi báo cáo lỗ hổng:
- Mô tả chi tiết về lỗ hổng: Cung cấp mô tả cụ thể về lỗ hổng bảo mật, bao gồm các chi tiết kỹ thuật và cách thức mà lỗ hổng hoạt động, giúp đội ngũ kỹ thuật của SCS hiểu rõ vấn đề.
- Cách thức khai thác lỗ hổng: Mô tả các bước chi tiết để khai thác lỗ hổng, bao gồm mã độc hoặc kỹ thuật có thể được sử dụng để tấn công hệ thống. Điều này giúp công ty đánh giá mức độ nghiêm trọng và khắc phục lỗ hổng một cách hiệu quả.
- Tác động tiềm năng (nếu có thể): Đưa ra đánh giá về các hậu quả bảo mật có thể xảy ra, bao gồm việc lỗ hổng có thể ảnh hưởng đến hoạt động của hệ thống, gây mất dữ liệu, xâm phạm quyền riêng tư hoặc gây tổn thất tài chính.
- Bảo mật thông tin
- Công ty cam kết bảo mật tuyệt đối mọi thông tin liên quan đến lỗ hổng bảo mật do khách hàng/người dùng báo cáo. Tất cả các báo cáo sẽ được xử lý cẩn thận, chỉ chia sẻ với các cá nhân có liên quan trong quá trình khắc phục lỗ hổng.
- Mọi thông tin sẽ được mã hóa và lưu trữ một cách an toàn, nhằm ngăn chặn việc rò rỉ hoặc lợi dụng thông tin trong quá trình điều tra và sửa chữa.
- Xác nhận và phản hồi
- SCS có quy trình xác nhận và sẽ gửi xác nhận đến người báo cáo, bao gồm một biên bản hoặc mã số theo dõi. Điều này giúp người báo cáo có thể theo dõi tiến độ xử lý và cập nhật tình hình khắc phục lỗ hổng.
- SCS cam kết cung cấp phản hồi trong thời gian sớm nhất, bao gồm việc xác nhận tính xác thực của lỗ hổng, quá trình đánh giá và thời gian dự kiến để xử lý. Người báo cáo sẽ được thông báo khi lỗ hổng đã được khắc phục thành công.
ĐIỀU 3. CAM KẾT CỦA CÔNG TY SCS
- Cam kết xác nhận báo cáo trong vòng 72 giờ làm việc
- Công ty cổ phần An ninh mạng thông minh SCS cam kết sẽ xem xét và xác nhận đã nhận được báo cáo lỗ hổng từ phía người báo cáo trong vòng 72 giờ làm việc kể từ khi nhận được thông tin. Điều này giúp người báo cáo có sự đảm bảo rằng báo cáo của họ đã được tiếp nhận và đang trong quá trình xử lý.
- Cam kết không thực hiện hành động pháp lý đối với người báo cáo tuân thủ chính sách
- Công ty cổ phần An ninh mạng thông minh SCS cam kết sẽ không khởi kiện hay thực hiện bất kỳ hành động pháp lý nào đối với người báo cáo nếu họ tuân thủ đầy đủ các quy định trong chính sách tiếp nhận và xử lý lỗ hổng bảo mật của công ty. Điều này tạo ra một môi trường hợp tác an toàn và khuyến khích việc báo cáo lỗ hổng, giúp người báo cáo chia sẻ thông tin một cách minh bạch và không lo sợ hậu quả pháp lý.
- Chính sách này cũng nhằm đảm bảo rằng những người có thiện chí giúp bảo vệ hệ thống của công ty không bị trừng phạt, qua đó khuyến khích họ tiếp tục tham gia vào việc cải thiện an ninh mạng.
ĐIỀU 4. QUY TRÌNH XỬ LÝ BÁO CÁO
- Xác minh
Công ty cổ phần An ninh mạng thông minh SCS sẽ tiến hành xác minh thông tin báo cáo ngay sau khi nhận được. Quá trình này bao gồm việc kiểm tra xem lỗ hổng được báo cáo có thực sự tồn tại hay không và liệu lỗ hổng đó có thể bị khai thác trong thực tế hay không. Việc xác minh giúp đảm bảo tính chính xác và hiệu quả của các biện pháp khắc phục tiếp theo.
- Đánh giá
Sau khi xác minh lỗ hổng, SCS sẽ tiến hành đánh giá chi tiết để xác định:
- Mức độ nghiêm trọng của lỗ hổng: Xác định khả năng lỗ hổng có thể bị khai thác, tiềm năng gây thiệt hại cho dữ liệu, hệ thống hoặc người dùng.
- Tác động tiềm năng: Đánh giá xem lỗ hổng có thể ảnh hưởng đến hoạt động của hệ thống, dữ liệu nhạy cảm, hay an ninh tổng thể của dịch vụ.
- Mức độ ưu tiên khắc phục: Dựa trên kết quả đánh giá, SCS sẽ xác định mức độ ưu tiên cho việc khắc phục lỗ hổng, từ đó sắp xếp thứ tự ưu tiên giữa các lỗ hổng khác nhau.
- Khắc phục
Sau khi hoàn thành đánh giá, công ty sẽ nhanh chóng triển khai các biện pháp khắc phục cần thiết, bao gồm:
- Phát triển và triển khai bản vá bảo mật để sửa chữa lỗ hổng.
- Cấu hình lại hệ thống để loại bỏ hoặc giảm thiểu nguy cơ bị tấn công.
- Áp dụng các biện pháp bảo mật bổ sung như tăng cường kiểm soát truy cập, triển khai các công cụ giám sát và cảnh báo, hoặc giới hạn quyền truy cập tạm thời cho các khu vực bị ảnh hưởng.
Quá trình này sẽ được tiến hành theo các tiêu chuẩn bảo mật quốc tế và quy trình nội bộ của công ty để đảm bảo tính an toàn và hiệu quả.
- Thời gian ước tính để giải quyết
Công ty cổ phần An ninh mạng thông minh SCS cam kết sẽ cung cấp cho người báo cáo một thời gian ước tính để giải quyết lỗ hổng sau khi đánh giá được hoàn thành. Thời gian này phụ thuộc vào:
- Mức độ nghiêm trọng của lỗ hổng: Các lỗ hổng nghiêm trọng sẽ được ưu tiên giải quyết ngay lập tức.
- Tài nguyên và nhân lực có sẵn: Đội ngũ kỹ thuật của công ty sẽ phân bổ nguồn lực phù hợp để đảm bảo lỗ hổng được khắc phục nhanh chóng và an toàn.
- Độ phức tạp của lỗ hổng: Những lỗ hổng phức tạp hơn có thể yêu cầu thời gian xử lý dài hơn, nhưng SCS sẽ cam kết cung cấp bản cập nhật thường xuyên cho người báo cáo về tiến trình khắc phục.
ĐIỀU 5. PHẢN HỒI VÀ LIÊN LẠC
- Phản hồi về trạng thái và kết quả xử lý lỗ hổng
Công ty cổ phần An ninh mạng thông minh SCS cam kết cung cấp thông tin phản hồi đầy đủ và rõ ràng cho người báo cáo về trạng thái và kết quả xử lý lỗ hổng mà họ đã phát hiện. Quá trình phản hồi bao gồm:
- Xác nhận lỗ hổng: Thông báo đến người báo cáo khi lỗ hổng đã được kiểm tra và xác nhận tồn tại.
- Cập nhật tiến trình: Cung cấp các cập nhật về quá trình khắc phục lỗ hổng, từ giai đoạn đánh giá mức độ nghiêm trọng đến khi bắt đầu triển khai các biện pháp khắc phục.
- Thông tin về giải pháp: Sau khi khắc phục thành công, SCS sẽ thông báo chi tiết về các biện pháp bảo mật đã được triển khai, chẳng hạn như bản vá phần mềm, thay đổi cấu hình hệ thống, hoặc các biện pháp an ninh khác.
- Kênh liên lạc để trao đổi thêm thông tin
Người báo cáo sẽ được cung cấp một kênh liên lạc chính thức để tiếp tục trao đổi thông tin nếu cần thiết. Các kênh này bao gồm:
- Địa chỉ email hỗ trợ: Người báo cáo có thể gửi thêm thông tin, yêu cầu hỗ trợ hoặc hỏi các câu hỏi liên quan đến quá trình xử lý lỗ hổng.
- Hotline hỗ trợ: Trong các trường hợp khẩn cấp hoặc lỗ hổng nghiêm trọng, người báo cáo có thể liên hệ trực tiếp qua đường dây Hotline của công ty để nhận được hỗ trợ kịp thời và nhanh chóng.
ĐIỀU 6. BẢO MẬT VÀ QUYỀN RIÊNG TƯ
- Cam kết bảo mật thông tin cá nhân và chi tiết báo cáo của người báo cáo
Công ty cổ phần An ninh mạng thông minh SCS cam kết bảo vệ thông tin cá nhân và chi tiết báo cáo của người báo cáo. Điều này có thể bao gồm việc chỉ tiết lộ thông tin cần thiết cho những người cần biết để xử lý lỗ hổng và bảo mật thông tin còn lại.
- Đảm bảo quá trình xử lý lỗ hổng diễn ra kín đáo và an toàn
Công ty cổ phần An ninh mạng thông minh SCS cũng đảm bảo rằng quá trình xử lý lỗ hổng sẽ diễn ra một cách kín đáo và an toàn, không tiết lộ thông tin về lỗ hổng cho bất kỳ bên thứ ba nào không có quyền truy cập.
ĐIỀU 7. CÔNG BỐ CHÍNH SÁCH
Đăng tải trên trang web:
Chính sách tiếp nhận và xử lý báo cáo lỗ hổng của Công ty cổ phần An ninh mạng thông minh SCS sẽ được đăng tải công khai trên trang web chính thức của công ty.
Link gửi Email hoặc nút tìm kiếm cách thức báo cáo sẽ được đặt ở vị trí dễ tiếp cận để người dùng có thể truy cập thông tin một cách nhanh chóng.
Thông báo cho các bên liên quan:
SCS sẽ thông báo về chính sách tiếp nhận báo cáo lỗ hổng/điểm yếu đến các đối tác, khách hàng và cộng đồng bảo mật thông qua nhiều kênh khác nhau để đảm bảo sự tiếp cận rộng rãi.
Các kênh thông báo bao gồm:
- Email chính thức: Gửi thông báo đến các đối tác và khách hàng về chính sách này.
- Diễn đàn bảo mật: Thông báo trên các diễn đàn chuyên về bảo mật để thu hút sự chú ý của các chuyên gia an ninh mạng.
- Mạng xã hội: Sử dụng các kênh truyền thông mạng xã hội như LinkedIn, Twitter hoặc Facebook để lan tỏa thông tin đến cộng đồng bảo mật và khách hàng.
Nội dung công bố:
- Thông tin trong công bố nên bao gồm mục đích và phạm vi của chính sách tiếp nhận báo cáo về lỗ hổng/ điểm yếu, cách thức tiếp nhận báo cáo và cam kết của SCS đối với bảo mật thông tin và quyền riêng tư.
- Cần cung cấp một cái nhìn tổng quan và dễ hiểu về cách SCS xử lý các báo cáo lỗ hổng và cách người dùng có thể liên lạc.
II. Chính sách tiếp nhận các phản ánh về hiệu năng, tính năng sản phẩm
ĐIỀU 1. MỤC ĐÍCH VÀ PHẠM VI
Mục đích: Cải thiện chất lượng sản phẩm và nâng cao trải nghiệm của khách hàng thông qua việc lắng nghe ý kiến và phản hồi từ khách hàng.
Phạm vi: Phạm vi áp dụng của chính sách này bao gồm tất cả các sản phẩm và dịch vụ do Công ty Cổ phần An ninh Mạng Thông minh SCS cung cấp. Các sản phẩm và dịch vụ cụ thể có thể bao gồm: phần mềm, phần cứng, ứng dụng di động, trang web, sản phẩm vật lý, dịch vụ hỗ trợ khách hàng, cùng các dịch vụ khác mà khách hàng có thể sử dụng.
ĐIỀU 2. QUY TRÌNH GỬI PHẢN ÁNH
- Khách hàng gửi phản ánh qua các kênh giao tiếp
Khách hàng hoặc người dùng có thể gửi phản ánh qua các kênh liên lạc chính thức của Công ty cổ phần An ninh mạng thông minh SCS. Các kênh này bao gồm:
- Gửi email trực tiếp đến địa chỉ email liên hệ của SCS: [email protected]
- Gọi điện thoại đến đường dây Hotline của SCS: 1900 3250
- Sử dụng ứng dụng Zalo OA để nhắn tin trực tiếp với Hotline của SCS: 1900 3250
- SCS yêu cầu thông tin cần thiết
- Mô tả tính năng hiện tại: Khách hàng cần mô tả chi tiết về tính năng hiện tại của sản phẩm hoặc dịch vụ mà khách hàng đang gửi phản ánh.
- Đề xuất cải tiến: Khách hàng nêu đề xuất cải tiến hoặc thay đổi mà khách hàng muốn thấy trong tính năng sản phẩm.
- Lý do: Khách hàng giải thích lý do vì sao có đề xuất cải tiến đó, bao gồm các vấn đề hoặc hạn chế mà khách hàng gặp phải với tính năng hiện tại.
- Ghi nhận và xử lý
- SCS đảm bảo rằng tất cả các phản ánh được ghi nhận một cách cẩn thận.
- SCS có quy trình để xử lý các phản ánh, bao gồm việc phân loại, ưu tiên và chuyển giao cho các bộ phận liên quan để giải quyết.
- Phản hồi
- SCS phản hồi cho khách hàng về việc nhận được phản ánh của khách hàng và tiến trình xử lý.
ĐIỀU 3. CAM KẾT CỦA SCS
- Xác nhận nhận được phản ánh
- Công ty cổ phần An ninh mạng thông minh SCS cam kết sẽ xác nhận việc nhận được phản ánh của khách hàng trong vòng 72 giờ kể từ khi phản ánh được gửi.
- Cam kết này đảm bảo rằng khách hàng sẽ được thông báo kịp thời rằng ý kiến của khách hàng đã được ghi nhận và đang được xem xét.
- Xem xét mọi ý kiến và phản ánh
- SCS cam kết xem xét mọi ý kiến và phản ánh từ khách hàng một cách nghiêm túc và công bằng.
- Tất cả phản ánh sẽ được đánh giá cẩn thận, không phân biệt dựa trên nguồn gốc hay tính chất của từng phản ánh. Chúng tôi coi trọng mọi ý kiến của khách hàng và cam kết thực hiện quy trình đánh giá một cách công bằng.
- SCS cam kết duy trì tính liêm chính và trung thực trong việc xử lý phản ánh từ khách hàng.
- Phản hồi và thông báo:
- SCS cam kết cung cấp phản hồi cho khách hàng về việc xử lý phản ánh của khách hàng.
- Khách hàng sẽ nhận được thông báo về bất kỳ biện pháp cải thiện hoặc thay đổi nào được thực hiện dựa trên phản ánh của khách hàng. Chúng tôi coi trọng sự giao tiếp hai chiều và sẽ luôn thông báo cho khách hàng về tiến trình và kết quả xử lý phản ánh.
- Cam kết cải tiến liên tục:
- Công ty sẽ xem xét các phản ánh và ý kiến của khách hàng như một cơ sở để cải tiến quy trình và nâng cao chất lượng dịch vụ.
- Việc này không chỉ nhằm khắc phục các vấn đề hiện tại mà còn để ngăn ngừa những vấn đề tương tự trong tương lai, từ đó nâng cao sự hài lòng của khách hàng.
ĐIỀU 4. QUY TRÌNH PHẢN ÁNH VÀ XỬ LÝ
- Phân tích phản ánh
- SCS sẽ thu thập tất cả các phản ánh từ khách hàng thông qua các kênh giao tiếp đã được thiết lập.
- Các phản ánh sẽ được phân loại và gán vào các danh mục tương ứng, dựa trên tính năng hoặc hiệu suất của sản phẩm mà chúng đề cập đến. Điều này giúp đảm bảo rằng mỗi phản ánh được xử lý một cách chính xác và hiệu quả.
- Đánh giá và ưu tiên
- Mỗi phản ánh sẽ được đánh giá về mức độ ảnh hưởng và sẽ được ưu tiên xử lý dựa trên tính quan trọng và tác động của nó đến sản phẩm và khách hàng.
- Các phản ánh mang tính khẩn cấp hoặc có ảnh hưởng lớn sẽ được ưu tiên xử lý trước nhằm đảm bảo sự hài lòng và an toàn của khách hàng.
- Phân phối và xử lý
- Các phản ánh sẽ được phân phối đến các bộ phận hoặc nhóm chuyên môn có liên quan để tiến hành xử lý và giải quyết.
- Mỗi phản ánh sẽ được gán với một trạng thái xử lý cụ thể và một người chịu trách nhiệm, nhằm đảm bảo rằng quá trình xử lý diễn ra suôn sẻ và có thể theo dõi.
- Đánh giá và quyết định
- Các phản ánh sẽ được đánh giá chi tiết để hiểu rõ vấn đề và đề xuất cải tiến từ khách hàng. Quá trình này sẽ bao gồm việc xem xét nguyên nhân gốc rễ và xác định giải pháp hợp lý.
- Dựa trên kết quả đánh giá, SCS sẽ đưa ra quyết định về các biện pháp cải tiến hoặc thay đổi cần thiết để giải quyết vấn đề hoặc đáp ứng yêu cầu của khách hàng. Điều này có thể bao gồm việc điều chỉnh quy trình, sản phẩm hoặc dịch vụ để nâng cao chất lượng.
- Phản hồi và thông báo
- Khách hàng sẽ nhận được phản hồi về việc xử lý phản ánh của họ, bao gồm thông tin chi tiết về các biện pháp cải thiện hoặc thay đổi đã được thực hiện.
- Thời gian ước tính để xử lý phản ánh và phản hồi lại khách hàng sẽ được cung cấp, nhằm đảm bảo quy trình luôn minh bạch và mở. Chúng tôi cam kết duy trì giao tiếp liên tục với khách hàng trong suốt quá trình xử lý phản ánh để đảm bảo sự hài lòng tối đa.
ĐIỀU 5. PHẢN HỒI VÀ LIÊN LẠC
- Cung cấp thông tin phản hồi
- Công ty cổ phần An ninh mạng thông minh SCS cam kết cung cấp thông tin phản hồi kịp thời cho khách hàng về trạng thái và kết quả xử lý phản ánh của khách hàng.
- Phản hồi này sẽ bao gồm thông tin về việc phản ánh của khách hàng đã được ghi nhận và đang được xử lý như thế nào, cũng như kết quả cuối cùng của quá trình xử lý.
- Thời gian phản hồi
- Công ty cổ phần An ninh mạng thông minh SCS sẽ xác định một thời gian cụ thể để cam kết phản hồi lại khách hàng sau khi nhận được phản ánh của khách hàng.
- Thời gian này thường sẽ được thông báo trong xác nhận nhận phản ánh ban đầu và có thể thay đổi tùy thuộc vào tính chất và mức độ ưu tiên của phản ánh cụ thể. Chúng tôi cam kết giữ cho quy trình phản hồi luôn minh bạch và hiệu quả, nhằm đảm bảo sự hài lòng của khách hàng.
- Chất lượng phản hồi
- Chúng tôi cam kết rằng mọi phản hồi đều sẽ được thực hiện một cách rõ ràng, chi tiết và hữu ích, nhằm giúp khách hàng hiểu rõ hơn về quy trình xử lý và các biện pháp đã được thực hiện.
- Ngoài ra, khách hàng cũng sẽ được khuyến khích chia sẻ thêm ý kiến của mình về chất lượng phản hồi để giúp chúng tôi không ngừng cải thiện dịch vụ.
ĐIỀU 6. BẢO MẬT VÀ QUYỀN RIÊNG TƯ
- Bảo mật thông tin cá nhân
- SCS cam kết bảo vệ thông tin cá nhân và chi tiết phản ánh của khách hàng một cách nghiêm ngặt. Tất cả thông tin cá nhân, bao gồm tên, địa chỉ, số điện thoại, địa chỉ email và bất kỳ thông tin nhạy cảm nào khác, sẽ được bảo mật tuyệt đối và chỉ được sử dụng cho mục đích xử lý phản ánh.
- Chúng tôi sẽ thực hiện các biện pháp bảo mật cần thiết để đảm bảo rằng thông tin của khách hàng không bị truy cập trái phép hoặc tiết lộ ra ngoài.
- Xử lý phản ánh một cách kín đáo và tôn trọng quyền riêng tư
- SCS cam kết rằng mọi phản ánh sẽ được xử lý một cách kín đáo và tôn trọng quyền riêng tư của khách hàng. Các thông tin và chi tiết trong phản ánh sẽ được giữ bí mật và chỉ được tiết lộ cho các bộ phận hoặc cá nhân có nhu cầu cụ thể để xử lý phản ánh đó.
- Chúng tôi sẽ không sử dụng thông tin của khách hàng cho bất kỳ mục đích nào ngoài việc xử lý phản ánh mà không có sự đồng ý rõ ràng từ họ.