Người dùng Evernote tin tưởng giao phó cho chúng tôi hàng tỷ ghi chú, dự án và ý tưởng. Niềm tin đó là dựa trên việc chúng tôi có thể giữ cho nguồn dữ liệu đó được riêng tư và an toàn. Thông tin có trên trang này là nhằm minh bạch về cách chúng tôi bảo vệ dữ liệu đó. Chúng tôi sẽ tiếp tục mở rộng và cập nhật thông tin này khi chúng tôi thêm khả năng bảo mật mới và cải tiến độ bảo mật cho các sản phẩm của chúng tôi.
Bảo mật là một nhóm chuyên trách trong Evernote. Tôn chỉ của nhóm bảo mật là bảo vệ dữ liệu mà bạn lưu trữ trong dịch vụ của chúng tôi. Chúng tôi thúc đẩy một chương trình bảo mật bao gồm các lĩnh vực trọng tâm sau: bảo mật sản phẩm, kiểm soát cơ sở hạ tầng (vật lý và kỹ thuật), chính sách, nhận thức của nhân viên, phát hiện xâm nhập và các hoạt động đánh giá.
Đội ngũ bảo mật triển khai chương trình Ứng phó sự cố ("IR") nội bộ và hướng dẫn cho nhân viên của Evernote cách báo cáo hoạt động khả nghi. Đội ngũ IR của chúng tôi có các quy trình và công cụ cần thiết để ứng phó với các vấn đề về bảo mật, đồng thời thường xuyên đánh giá những công nghệ mới để tăng cường khả năng phát hiện các cuộc tấn công vào hệ thống cơ sở hạ tầng, dịch vụ và nhân viên của chúng tôi.
Chúng tôi định kỳ kiểm tra những lỗi bảo mật tiềm ẩn đối với hệ thống cơ sở hạ tầng và ứng dụng để có thể xử lý ngay những lỗ hổng có khả năng làm ảnh hưởng đến tính bảo mật của dữ liệu của khách hàng. Đội ngũ bảo mật luôn nghiên cứu những công cụ mới để tăng cường hiệu quả của các đợt đánh giá cả về chiều rộng lẫn chiều sâu.
Evernote sử dụng kết hợp hệ thống cân bằng tải, tường lửa và VPN để xác định ranh giới mạng của công ty. Chúng tôi sử dụng những hệ thống này để kiểm soát những dịch vụ mà chúng tôi cho phép kết nối vào mạng Internet và để tách biệt mạng sản xuất khỏi phần còn lại của hệ thống cơ sở hạ tầng điện toán của chúng tôi. Chúng tôi giới hạn quyền truy cập hệ thống cơ sở hạ tầng sản xuất theo nhu cầu công việc và thẩm tra quyền truy cập rất nghiêm ngặt.
Evernote không bao giờ lưu trữ mật khẩu của bạn dưới dạng văn bản thuần tuý. Khi chúng tôi cần lưu trữ an toàn mật khẩu tài khoản để xác thực bạn, chúng tôi sử dụng thuật toán PBKDF2 (Hàm tạo khoá mã dựa trên mật khẩu 2) kèm một thông tin ngẫu nhiên duy nhất cho mỗi thông tin đăng nhập. Chúng tôi lựa chọn số lần băm sao cho cân bằng giữa trải nghiệm người dùng và độ phức tạp đối với việc bẻ khoá mật khẩu.
Mặc dù chúng tôi không yêu cầu bạn phải đặt mật khẩu phức tạp, bộ đo độ mạnh mật khẩu của chúng tôi sẽ là động lực để bạn chọn một mật khẩu mạnh. Chúng tôi giới hạn số lần đăng nhập không thành công trên cơ sở mỗi tài khoản và mỗi địa chỉ IP nhằm làm chậm các cuộc tấn công bằng hình thức đoán mật khẩu.
Evernote sử dụng công nghệ xác minh hai bước (“2SV”), hay còn gọi là xác thực hai yếu tố hoặc xác thực nhiều yếu tố cho mọi tài khoản. Cơ chế 2SV của chúng tôi sử dụng thuật toán tạo mật khẩu dùng một lần có giới hạn thời gian (TOTP). Mọi người dùng có thể dùng một ứng dụng để tạo mã cục bộ trên thiết bị di động hoặc chọn nhận mật khẩu dưới dạng tin nhắn văn bản.
Evernote cho phép bạn tạo ghi chú trong tài khoản bằng cách gửi email đến một địa chỉ email đặc biệt của Evernote. Để bảo vệ bạn khỏi các nội dung độc hại, chúng tôi sẽ quét mọi email nhận được bằng một hệ thống quét vi-rút thương mại.
Khi bạn nhận email từ Evernote, chúng tôi muốn bạn yên tâm rằng đó đúng là email do chúng tôi gửi. Chúng tôi công bố chính sách thực thi DMARC để giúp bạn càng yên tâm hơn rằng email bạn nhận được từ Evernote là chính thống. Mỗi email mà chúng tôi gửi từ những miền sau sẽ có chữ ký số DKIM và được gửi từ một địa chỉ IP mà chúng tôi công bố trong bản ghi SPJ của mình.
Evernote:
Công tác bảo đảm an toàn cho dịch vụ web kết nối với mạng Internet có vai trò tối quan trọng trong việc bảo vệ dữ liệu của bạn. Nhóm bảo mật của chúng tôi có triển khai chương trình bảo mật ứng dụng để nâng cao mức độ bảo mật cho mã và định kỳ tổ chức kiểm tra dịch vụ để phát hiện các vấn đề bảo mật mà ứng dụng thường gặp như CSRF, tấn công bằng phương pháp chèn mã độc (XSS, SQLi), quản lý phiên làm việc, chuyển hướng URL và lừa người dùng bấm chuột.
Dịch vụ web của chúng tôi xác thực mọi ứng dụng khách của bên thứ ba bằng quy trình OAuth. Quy trình OAuth cho phép bạn kết nối một ứng dụng bên thứ ba vào tài khoản của mình một cách dễ dàng mà không cần phải gửi cho ứng dụng đó thông tin đăng nhập của bạn. Sau khi bạn xác thực thành công với Evernote, chúng tôi sẽ gửi một mã xác thực cho ứng dụng khách để xác thực quyền truy cập của bạn từ đó trở đi. Nhờ phương pháp này mà ứng dụng của bên thứ ba không cần phải lưu trữ tên người dùng và mật khẩu trên thiết bị của bạn.
Mỗi ứng dụng khách có giao tiếp với dịch vụ của chúng tôi sử dụng một hàm API thrift an toàn để thực thi mọi câu lệnh. Nhờ sử dụng hàm API này làm trung gian, chúng tôi có thể đưa các quy trình kiểm tra cấp phép trở thành yếu tố cơ bản trong kiến trúc của ứng dụng. Dịch vụ không cho phép truy cập trực tiếp đối tượng và mỗi mã xác thực của ứng dụng khách đều được kiểm tra trước mỗi lần truy cập vào dịch vụ để đảm bảo ứng dụng khách đã được xác thực và được cấp phép truy cập một ghi chú hoặc sổ tay cụ thể. Vui lòng truy cập dev.evernote.com để tìm hiểu thêm.
Dịch vụ Evernote cho phép nhiều người cùng sử dụng và không tách biệt dữ liệu của bạn với dữ liệu của người dùng khác. Dữ liệu của bạn có thể được lưu trữ trên cùng một máy chủ với dữ liệu của người dùng khác. Chúng tôi xem dữ liệu của bạn là riêng tư và không cho phép người dùng khác truy cập dữ liệu của bạn, trừ phi bạn chủ động chia sẻ dữ liệu của mình.
Evernote lưu giữ nội dung của bạn trừ phi bạn tiến hành những bước rõ ràng để xoá ghi chú và/hoặc sổ tay. Để biết thông tin về cách xoá ghi chú, vui lòng xem bài viết này trong trung tâm trợ giúp. Để biết thông tin về chính sách lưu giữ của chúng tôi, vui lòng tham khảo mục có tiêu đề "Lưu giữ thông tin" trong chính sách quyền riêng tư của chúng tôi.
Chúng tôi sẽ xóa sạch hoặc tiêu hủy một cách an toàn mọi phương tiện lưu trữ nếu thiết bị đó đã từng lưu trữ dữ liệu của người dùng. Chúng tôi tuân thủ hướng dẫn của NIST trong ấn bản đặc biệt số 800-88 trong quá trình xóa hoặc tiêu hủy phương tiện lưu trữ. Để xem ví dụ về cách chúng tôi tiêu hủy an toàn những ổ cứng đã hỏng, vui lòng xem bài blog này.
Chúng tôi sử dụng nhiều dịch vụ lưu trữ của Google’s Cloud Platform (“GCP”), bao gồm ổ đĩa cục bộ, ổ đĩa thường trực và bộ chứa dữ liệu của Google Cloud Storage. Chúng tôi tận dụng các quy trình xóa khoá mã hoá (cryptographic erasure) của Google nhằm đảm bảo thiết bị lưu trữ khi tái sử dụng sẽ không làm lộ dữ liệu cá nhân của khách hàng.
Máy chủ của dịch vụ Evernote sẽ ghi lại hoạt động của ứng dụng khách khi tương tác với dịch vụ của chúng tôi. Những hoạt động được ghi lại bao gồm việc truy cập máy chủ web và các lệnh thực thi bằng hàm API của chúng tôi. Ngoài ra, chúng tôi còn thu thập dữ liệu sự kiện từ ứng dụng khách. Để xem những lần truy cập gần đây và địa chỉ IP của mỗi ứng dụng kết nối với tài khoản của bạn, hãy chuyển đến phần Cài đặt tài khoản, rồi chọn Lịch sử truy cập.
Evernote sử dụng công nghệ mã hóa tiêu chuẩn trong ngành để bảo vệ dữ liệu được truyền đi qua mạng. Công nghệ này thường được gọi là bảo mật tầng giao vận (“TLS”) hoặc bảo mật tầng socket (“SSL”). Bên cạnh đó, chúng tôi còn sử dụng giao thức Bảo mật nghiêm ngặt thông tin truyền tải bằng HTTP (“HSTS”) cho dịch vụ Evernote (www.evernote.com). Chúng tôi còn sử dụng nhiều bộ mật mã và giao thức TLS để cung cấp khả năng mã hóa mạnh mẽ cho cả trình duyệt và ứng dụng khách có hỗ trợ công nghệ này, cộng với khả năng tương thích ngược cho các ứng dụng khách cũ. Chúng tôi quyết tâm cải tiến liên tục biện pháp bảo vệ dữ liệu truyền tải để giữ vững lời hứa bảo vệ an toàn cho dữ liệu của bạn.
Chúng tôi sử dụng giao thức STARTTLS cho hoạt động nhận và gửi email. Nếu nhà cung cấp dịch vụ email của bạn có hỗ trợ TLS, cả email nhận từ và gửi đến dịch vụ Evernote sẽ được mã hóa trong quá trình truyền tải.
Chúng tôi bảo vệ mọi dữ liệu của khách hàng được truyền tải giữa trung tâm dữ liệu của chúng tôi và Google Cloud Platform bằng giao thức IPSEC với mức độ mã hóa GCM-AES-128 hoặc TLS.
Vào cuối năm 2016, chúng tôi bắt đầu chuyển dịch vụ Evernote sang Google Cloud Platform (“GCP”). Dữ liệu khách hàng mà chúng tôi lưu trữ trên GCP sẽ được bảo mật bằng những tính năng mã hóa dữ liệu nằm trên thiết bị lưu trữ sẵn có của Google. Về mặt kỹ thuật mà nói, tính năng mã hóa phía máy chủ của Google sử dụng các khóa mã hóa do Google quản lý để mã hóa mọi dữ liệu nằm trên thiết bị lưu trữ bằng phương pháp AES-256 một cách rõ ràng và tự động. Bạn có thể tìm hiểu thêm về cách công nghệ mã hóa dữ liệu nằm trên thiết bị lưu trữ bảo vệ dữ liệu của bạn tại đây.
Chúng tôi sử dụng hệ thống cơ sở hạ tầng có khả năng chịu lỗi để đảm bảo Evernote luôn sẵn sàng phục vụ người dùng khi cần.
Chúng tôi triển khai các biện pháp sau đây cho cả trung tâm dữ liệu vật lý và hệ thống cơ sở hạ tầng đám mây:
Cả Google và đơn vị cho thuê chỗ đặt thiết bị của chúng tôi đều cung cấp các dịch vụ cơ sở vật chất có khả năng chịu lỗi, bao gồm: hệ thống điện, hệ thống sưởi, thông gió, điều hòa không khí (HVAC) và hệ thống chữa cháy.
Chúng tôi cung cấp thông tin cập nhật trực tiếp về trạng thái sẵn sàng của dịch vụ cũng như thông tin về trạng thái trước đây tại: https://twitter.com/evernotestatus và http://status.evernote.com.
Chúng tôi sao lưu mọi nội dung của khách hàng tối thiểu một lần mỗi ngày. Chúng tôi không dùng các thiết bị lưu trữ di động hoặc tháo rời được để sao lưu dữ liệu.
Chúng tôi sử dụng kết hợp các dịch vụ đám mây và trung tâm dữ liệu vật lý để vận hành dịch vụ Evernote.
Tại các trung tâm dữ liệu của Evernote, chúng tôi bảo vệ cơ sở hạ tầng trong lồng bảo vệ riêng, có khóa và được giám sát suốt ngày đêm. Ai muốn truy cập vào các trung tâm dữ liệu này cần phải thực hiện quy trình cơ bản nhất là xác thực hai yếu tố, tuy nhiên một số trường hợp có thể phải có thêm một yếu tố thứ ba nữa là xác thực thông tin sinh trắc học. Mỗi trung tâm dữ liệu đã được kiểm tra đáp ứng tiêu chuẩn SOC-1 Loại 2 để khẳng định khả năng bảo mật vật lý của hệ thống cơ sở hạ tầng. Chỉ có nhân sự vận hành của Evernote và nhân viên của trung tâm dữ liệu mới có quyền truy cập vật lý vào cơ sở hạ tầng này. Nhóm vận hành của chúng tôi sẽ được cảnh báo mỗi khi có người tiếp cận khu vực lồng bảo vệ, kèm theo video quay lại sự việc.
Chúng tôi sử dụng Google Cloud Platform để cung cấp dịch vụ đám mây. Google đã nhiều lần được chứng nhận là đủ khả năng bảo vệ dữ liệu của Evernote về mặt vật lý. Bạn có thể tìm hiểu thêm về khả năng bảo mật của Google Cloud Platform tại đây.
Mọi dữ liệu trên Evernote đều được lưu trữ tại Hoa Kỳ.
Vui lòng truy cập trung tâm về quyền riêng tư của chúng tôi để biết thêm thông tin. Chúng tôi không công bố báo cáo Kiểm soát tổ chức dịch vụ (“SOC”).
