BSChain

Chính sách an toàn thông tin

Bảo mật tài khoản · Phân quyền · Nhật ký · Sao lưu · Sự cố

1. Bảo mật tài khoản

Xác thực qua Firebase (Google) hoặc OTP số điện thoại. BSChain không lưu mật khẩu dạng rõ.

2. Phân quyền (RBAC)

Hệ thống phân quyền theo vai trò: staff, company_owner, admin, superadmin, knowledge_reviewer. Khi thiếu quyền, hệ thống trả về HTTP 403; khi token sai hoặc hết hạn, trả về HTTP 401.

3. Ghi nhật ký (audit log)

Mọi thao tác tạo/sửa/xóa quan trọng được ghi vào AuditLog (không thể xóa), tuân thủ Thông tư 02/2024/TT-BKHCN.

4. Sao lưu (backup)

Cơ sở dữ liệu MongoDB được sao lưu định kỳ và kiểm tra khả năng khôi phục theo lịch.

5. Xử lý sự cố

BSChain áp dụng quy trình phát hiện, khoanh vùng, khắc phục và thông báo khi xảy ra sự cố an toàn thông tin.