Tuyên bố về các biện pháp kỹ thuật và tổ chức

Vui lòng tham khảo các phiên bản trước của chính sách này và các chính sách khác trong phần Tài liệu lưu trữ chính sách(opens in a new tab or window).

Tuyên bố về các biện pháp kỹ thuật và tổ chức này được đưa vào bằng cách dẫn chiếu trong Phụ lục về xử lý dữ liệu của chúng tôi. Tuyên bố mô tả các tiêu chuẩn bảo mật tối thiểu mà Canva áp dụng cho các dịch vụ của Canva theo Thỏa thuận dịch vụ đăng ký(opens in a new tab or window). Các thuật ngữ viết hoa được sử dụng nhưng không được định nghĩa trong Tuyên bố về các biện pháp kỹ thuật và tổ chức này sẽ có ý nghĩa như được quy định trong Phụ lục về xử lý dữ liệu(opens in a new tab or window), bao gồm cả “Dữ liệu” (để tránh nhầm lẫn, thuật ngữ này dùng để chỉ dữ liệu của khách hàng doanh nghiệp, trừ trường hợp có quy định khác trong thỏa thuận của bạn với chúng tôi).

1. Các biện pháp xử lý dữ liệu cá nhân theo phương thức khử nhận dạng và mã hóa

Canva mã hóa Dữ liệu được truyền giữa khách hàng và ứng dụng Canva qua mạng công cộng bằng giao thức TLS 1.2 trở lên. Dữ liệu khách hàng lưu trữ trên máy chủ của Canva được mã hóa bằng AES 256 hoặc tiêu chuẩn mạnh hơn.


2. Các biện pháp đảm bảo tính bảo mật, sự toàn vẹn, tính sẵn sàng và khả năng phục hồi liên tục của các hệ thống và dịch vụ xử lý

Canva có nhân sự chịu trách nhiệm giám sát về bảo mật và quyền riêng tư. Canva đã chỉ định các Trưởng bộ phận về Bảo mật, Quyền riêng tư và Dữ liệu, cùng với Ủy ban Bảo mật thông tin tiến hành họp hằng quý để thảo luận về các rủi ro liên quan đến quyền riêng tư và bảo mật đã được quản lý trong sổ đăng ký rủi ro.


3. Các biện pháp đảm bảo khả năng kịp thời khôi phục tính sẵn sàng và quyền truy cập vào dữ liệu cá nhân trong trường hợp xảy ra sự cố vật lý hoặc kỹ thuật

Để hỗ trợ cho tính sẵn sàng của dịch vụ, Canva sử dụng tính năng tự động điều chỉnh quy mô của Amazon Web Services (AWS), vùng sẵn sàng của AWS, giám sát cơ sở hạ tầng và ứng dụng mở rộng cũng như roster hỗ trợ ứng dụng 24x7.

Canva luôn lưu giữ các bản sao lưu của kho dữ liệu, trong đó có Dữ liệu khách hàng, nhằm hỗ trợ các chức năng cốt lõi của ứng dụng Canva. Địa điểm lưu trữ các bản sao lưu khác với địa điểm lưu trữ dữ liệu chính.

Canva duy trì năng lực ứng phó với các sự cố bảo mật, trong đó có tài liệu về Kế hoạch ứng phó sự cố dữ liệu cá nhân dành cho các sự cố liên quan đến Dữ liệu. Kế hoạch này xác định các bước để ngăn chặn, ứng phó, đánh giá và thông báo sự cố, chỉ ra vai trò và trách nhiệm của nhân viên Canva cũng như yêu cầu rà soát sau sự cố.


4. Các quy trình kiểm tra, đánh giá và thẩm định thường xuyên về tính hiệu quả của các biện pháp kỹ thuật và tổ chức nhằm đảm bảo tính bảo mật cho quá trình xử lý

Canva thuê chuyên gia kiểm thử bảo mật bên thứ ba để thực hiện kiểm thử thâm nhập hằng năm đối với ứng dụng và cơ sở hạ tầng của mình. Canva cũng sử dụng dịch vụ quét lỗ hổng ứng dụng của bên thứ ba và chạy chương trình săn lỗi nhận thưởng công khai.


5. Các biện pháp nhận dạng và ủy quyền người dùng

Trong trường hợp tài khoản của Khách hàng chứa mật khẩu để xác thực, Canva sẽ lưu trữ mật khẩu đã được “salt“ và băm bằng chức năng băm mật khẩu theo tiêu chuẩn ngành. Canva hỗ trợ tích hợp Đăng nhập một lần (SSO) với hệ thống nhận dạng khách hàng bằng Ngôn ngữ đánh dấu xác nhận bảo mật (SAML).


6. Các biện pháp bảo vệ dữ liệu trong quá trình truyền tải

Theo mục 1, Canva mã hóa Dữ liệu được truyền qua mạng công cộng giữa khách hàng và ứng dụng Canva bằng giao thức TLS 1.2 trở lên.


7. Các biện pháp bảo vệ dữ liệu trong quá trình lưu trữ

Theo mục 1, Dữ liệu khách hàng lưu trữ trên máy chủ của Canva được mã hóa bằng AES 256 hoặc tiêu chuẩn mạnh hơn.


8. Các biện pháp đảm bảo an toàn vật lý tại các địa điểm xử lý dữ liệu cá nhân

Dịch vụ và Dữ liệu được lưu trữ trong các trung tâm dữ liệu do Amazon Web Services (AWS) cung cấp. Do đó, Canva áp dụng các biện pháp kiểm soát vật lý, môi trường và cơ sở hạ tầng của AWS. Canva định kỳ đánh giá các chứng nhận và chứng thực của bên thứ ba do AWS cung cấp liên quan đến tính hiệu quả của các biện pháp kiểm soát trung tâm dữ liệu của mình.


9. Các biện pháp đảm bảo ghi chép nhật ký sự kiện

Canva luôn lưu giữ nhật ký kiểm tra bảo mật ứng dụng và cơ sở hạ tầng. Nhật ký kiểm tra được phân tích để phát hiện hoạt động bất thường.


10. Các biện pháp đảm bảo cấu hình hệ thống, bao gồm cả cấu hình mặc định

Canva củng cố cơ sở hạ tầng máy chủ của mình bằng cách sử dụng tiêu chuẩn tăng cường dựa trên tiêu chuẩn chung của ngành. Canva áp dụng các bản vá bảo mật cho máy chủ của mình theo Quy trình quản lý lỗ hổng.


11. Các biện pháp quản trị, quản lý CNTT nội bộ và bảo mật CNTT

Nhân viên Canva truy cập Dữ liệu khách hàng dựa trên vai trò và tuân theo nguyên tắc đặc quyền tối thiểu. Canva chỉ cung cấp quyền truy cập Dữ liệu khách hàng đủ để nhân viên có thể làm tròn trách nhiệm. Để truy cập từ xa vào hệ thống Canva, cần sử dụng thông tin liên lạc được mã hóa qua các giao thức bảo mật và thực hiện xác thực đa yếu tố. Canva đã thiết lập và sẽ duy trì các quy trình quản lý mật khẩu cho nhân viên của mình. Các quy trình này nhằm mục đích đảm bảo mật khẩu là riêng tư cho từng cá nhân và không ai có thể truy cập trái phép, bao gồm tối thiểu:

- bảo vệ mật khẩu bằng mật mã khi lưu trữ trong hệ thống máy tính hoặc truyền qua mạng;

- thay đổi mật khẩu mặc định của nhà cung cấp; và

- nâng cao nhận thức về cách sử dụng mật khẩu an toàn.

Nhân viên cần xác thực đa yếu tố (MFA) để truy cập vào cơ sở hạ tầng sản xuất.

Nhân viên của Canva phải tuân theo nghĩa vụ bảo mật và Chính sách xử lý dữ liệu cá nhân. Canva yêu cầu nhân viên của mình phải trải qua khóa đào tạo nâng cao nhận thức về bảo mật thông tin, cả thời điểm bắt đầu công việc và mỗi năm sau đó. Canva cũng yêu cầu nhân viên của mình phải trải qua khóa đào tạo về luật quyền riêng tư hằng năm (bao gồm cả việc tuân thủ COPPA và FERPA đối với dữ liệu của học sinh/sinh viên).

Canva đã đưa quyền riêng tư vào quá trình xây dựng sản phẩm, bao gồm nhưng không giới hạn ở các đánh giá tác động đến quyền riêng tư.


12. Các biện pháp chứng nhận/đảm bảo quy trình và sản phẩm

Canva sẽ duy trì chứng nhận ISO 27001, chịu sự giám sát định kỳ bên ngoài và đánh giá chứng nhận lại để đảm bảo rằng Hệ thống quản lý bảo mật thông tin (ISMS) của mình đáp ứng được các yêu cầu của tiêu chuẩn này.

Canva sẽ duy trì chính sách bảo mật thông tin đáp ứng các yêu cầu của tiêu chuẩn ISO 27001, một chương trình kiểm toán nội bộ đánh giá ISMS của Canva và các biện pháp kiểm soát bảo mật thông tin, đồng thời có một ủy ban quản lý chịu trách nhiệm giám sát Hệ thống quản lý bảo mật thông tin (ISMS) của Canva.


13. Các biện pháp đảm bảo giảm thiểu dữ liệu

Canva cho phép khách truy cập sử dụng một số chức năng nhất định của nền tảng theo cách ẩn danh và hạn chế đến mức tối thiểu Dữ liệu mà nền tảng yêu cầu từ Khách hàng để chỉ thu thập những gì cần thiết cho việc cung cấp dịch vụ theo yêu cầu.


14. Các biện pháp đảm bảo chất lượng dữ liệu

Canva đảm bảo chất lượng dữ liệu của mình thông qua việc xác minh các email đăng ký nền tảng canva.com. Canva cũng cho phép người dùng tự cập nhật thông tin trong tài khoản hoặc yêu cầu cập nhật thông qua bộ phận hỗ trợ khách hàng, Đội ngũ niềm vui khách hàng.


15. Các biện pháp đảm bảo lưu giữ dữ liệu có giới hạn

Canva luôn áp dụng Chính sách lưu giữ dữ liệu, nêu rõ thời gian lưu giữ của nhiều loại dữ liệu khác nhau dựa trên các yêu cầu pháp lý, lợi ích chính đáng của Canva và mục đích thu thập.


16. Biện pháp đảm bảo trách nhiệm giải trình

Canva đã bổ nhiệm các đại diện địa phương ở châu Âu và Vương quốc Anh. Đại diện địa phương của Canva tại Khu vực kinh tế châu Âu là Văn phòng bảo vệ dữ liệu châu Âu (EDPO) có địa chỉ đã đăng ký tại Avenue Huart Hamoir 71, 1030 Brussels, Bỉ. Đại diện địa phương của chúng tôi tại Vương quốc Anh là Văn phòng bảo vệ dữ liệu châu Âu của Vương quốc Anh (EDPO Vương quốc Anh) có địa chỉ đã đăng ký tại 8 Northumberland Avenue, London WC2N 5BY, Vương quốc Anh. Canva tiến hành Đánh giá tác động về bảo vệ dữ liệu đối với các hoạt động xử lý có rủi ro cao cũng như lưu giữ hồ sơ về các hoạt động xử lý của mình.


17. Các biện pháp cho phép di chuyển dữ liệu và đảm bảo xóa dữ liệu

Canva cung cấp quy trình tự động xóa Dữ liệu khách hàng theo yêu cầu trong vòng 28 ngày và cho phép khách hàng tải xuống Dữ liệu để chuyển sang các nhà cung cấp dịch vụ khác.


Các chính sách khác