Bảo mật

Phiên bản: 1.0 · Có hiệu lực từ: 2026-05-15

Bảo mật

Cập nhật: 2026-05-15.

Lumina xử lý dữ liệu nghề nghiệp nhạy cảm — hồ sơ CV, mô tả công việc và kết quả phân tích. Trang này mô tả các biện pháp kỹ thuật và tổ chức chúng tôi áp dụng để bảo vệ dữ liệu đó.

1. Mã hóa dữ liệu

Mọi kết nối giữa trình duyệt của bạn và máy chủ Lumina đều sử dụng HTTPS với TLS 1.2 trở lên. Chứng chỉ TLS được gia hạn tự động; kết nối thuần HTTP sẽ bị chuyển hướng về HTTPS.

Dữ liệu lưu trữ trong cơ sở dữ liệu được bảo vệ bằng mã hóa AES-256 ở lớp lưu trữ. Các trường nhạy cảm (token, khóa tích hợp) được mã hóa thêm ở lớp ứng dụng trước khi ghi vào cơ sở dữ liệu.

2. Xác thực và Phân quyền

  • JWT (JSON Web Token) được sử dụng cho phiên đăng nhập, với thời hạn ngắn và cơ chế làm mới (refresh) an toàn.
  • Mật khẩu người dùng được băm bằng bcrypt với hệ số cost phù hợp — Lumina không bao giờ lưu mật khẩu dưới dạng văn bản thuần.
  • Rate limiting được áp dụng trên tất cả endpoint xác thực để ngăn chặn tấn công brute-force và credential stuffing.
  • Phiên đăng nhập bị vô hiệu hóa ngay khi người dùng đăng xuất hoặc đổi mật khẩu.

3. Kiểm soát truy cập dữ liệu

Dữ liệu của mỗi tài khoản được cách ly hoàn toàn về mặt logic. Mọi truy vấn cơ sở dữ liệu đều được lọc theo user_id của phiên hiện tại — không có cơ chế nào cho phép một tài khoản xem dữ liệu của tài khoản khác.

Nhân viên nội bộ chỉ được cấp quyền truy cập dữ liệu người dùng khi có lý do nghiệp vụ hợp lệ, được ghi log và phê duyệt theo quy trình kiểm soát nội bộ.

4. Bảo vệ ứng dụng

  • Cloudflare Turnstile được tích hợp tại các form đăng ký và đăng nhập để phân biệt người dùng thực với bot tự động, không yêu cầu CAPTCHA hình ảnh gây khó chịu.
  • Toàn bộ đầu vào của người dùng được validate và sanitize ở cả phía client (zod schema) lẫn phía server trước khi xử lý.
  • Câu truy vấn cơ sở dữ liệu sử dụng parameterized queries (prepared statements) để loại bỏ nguy cơ SQL injection.
  • HTTP response headers bao gồm Content-Security-Policy, X-Frame-Options, và X-Content-Type-Options để giảm bề mặt tấn công XSS và clickjacking.
  • Dependency của dự án được quét định kỳ để phát hiện lỗ hổng đã biết (CVE).

5. Đối tác hạ tầng

Lumina được triển khai trên hạ tầng của [TEN_HOSTING], nhà cung cấp đạt các chứng chỉ bảo mật tiêu chuẩn ngành (ISO 27001, SOC 2 Type II). Môi trường sản xuất và môi trường phát triển được tách biệt hoàn toàn; dữ liệu thực không bao giờ được dùng trong môi trường test.

6. Báo cáo lỗ hổng bảo mật

Nếu bạn phát hiện lỗ hổng bảo mật trong hệ thống Lumina, chúng tôi trân trọng việc bạn báo cáo có trách nhiệm (responsible disclosure):

  • Email: security@[domain]
  • Mô tả rõ lỗ hổng, bước tái hiện và mức độ ảnh hưởng tiềm năng.
  • Chúng tôi cam kết phản hồi trong vòng 72 giờ làm việc và phối hợp xử lý trước khi công bố.

Chúng tôi không áp dụng hành động pháp lý đối với các nhà nghiên cứu bảo mật hành động thiện chí và tuân theo nguyên tắc responsible disclosure.

7. Cập nhật bảo mật

Chúng tôi theo dõi các bản vá lỗi của thư viện, framework và hệ điều hành đang sử dụng. Khi một lỗ hổng nghiêm trọng được phát hiện:

  1. Đánh giá tác động trong vòng 24 giờ.
  2. Triển khai bản vá hoặc biện pháp giảm nhẹ tạm thời trong thời gian sớm nhất có thể.
  3. Thông báo cho người dùng bị ảnh hưởng nếu có vi phạm dữ liệu xảy ra, theo quy định của pháp luật hiện hành (Nghị định 13/2023/NĐ-CP và các quy định liên quan).

Liên hệ

Mọi câu hỏi về bảo mật, vui lòng liên hệ:

  • Báo cáo lỗ hổng: security@[domain]
  • Câu hỏi chung về quyền riêng tư và bảo mật: support@[domain]

Lumina cam kết liên tục cải thiện các biện pháp bảo mật và cập nhật trang này khi có thay đổi đáng kể về chính sách hoặc kỹ thuật.

↑ Lên đầu trang