Whitepaper
Đánh giá bảo mật
Chỉnh sửa lần cuối Jul 5, 2022
Đánh giá bảo mật

Kiểm thử an ninh là công việc tối quan trọng với Locker trước khi chúng tôi đưa sản phẩm đến với người dùng. Chúng tôi tin rằng xây dựng và đảm bảo sự an toàn sản phẩm không chỉ diễn ra một lần mà là một quá trình liên tục. Đội ngũ Locker xem thiết kế và triển khai sản phẩm an toàn là một phần bắt buộc trong quy trình phát triển phần mềm, nhưng chúng tôi cũng nhận thức được rằng có những lỗ hổng bảo mật vượt qua ngoài khả năng tính toán ban đầu của chúng tôi. Chính vì vậy, giám sát và kiểm thử bảo mật là công việc diễn ra hàng ngày tại Locker.

Locker áp dụng kiểm thử bảo mật với 3 phương pháp:

  • Kiểm thử nội bộ: Locker được phát triển bởi CyStack, một trong những công ty an ninh mạng hàng đầu tại Việt Nam. Chúng tôi có đội ngũ chuyên gia bảo mật tài năng đã được ghi nhận trên cộng đồng bảo mật toàn cầu, và là những người trực tiếp tham gia vào quá trình thiết kế, kiểm thử và giám sát sự an toàn của Locker hàng ngày.
  • Kiểm thử với đối tác độc lập: Chúng tôi đang làm việc với một số đối tác an ninh độc lập là những công ty có kinh nghiệm audit, pentest các hệ thống quản lý mật khẩu trong nhiều năm. Chúng tôi sẽ sớm công bố báo cáo an ninh của những bên này đối với Locker.
  • Kiểm thử thông qua chương trình Bug Bounty: Locker đang triển khai chương trình săn lỗi bảo mật thông qua nền tảng bảo mật cộng đồng WhiteHub. Hàng nghìn chuyên gia bảo mật trên khắp thế giới đang giúp đỡ chúng tôi trong việc tìm ra lỗ hổng bảo mật và giúp cho Locker an toàn hơn.

Việc kiểm thử bảo mật được thực hiện như một biện pháp phòng ngừa và chúng tôi sẽ khắc phục tất cả các vấn đề bảo mật ngay khi phát hiện ra. Chúng tôi cần nhấn mạnh rằng, cho dù vấn đề bảo mật lớn đến đâu cũng không bao giờ gây ra ảnh hưởng xâm phạm đến dữ liệu người dùng.

Ngay cả trong trường hợp xấu nhất là Locker bị tấn công hoặc cơ sở dữ liệu bị rò rỉ, dữ liệu người dùng sẽ vẫn an toàn tuyệt đối bởi vì Locker sử dụng mã hóa end-to-end và dữ liệu người dùng đã được mã hóa cục bộ, có nghĩa là mọi dữ liệu bị kẻ tấn công thu được sẽ hoàn toàn vô nghĩa và không có khả năng sử dụng được.