Tài liệu này quy định các chính sách bảo mật thông tin mà tất cả nhân viên, quản trị viên và người vận hành hệ thống Daisy Web Report Portal phải tuân thủ khi truy cập và xử lý dữ liệu.

1. Nguyên tắc chung

• Mọi dữ liệu được tra cứu từ cổng thông tin này đều là tài sản bảo mật của công ty.
• Chỉ truy cập thông tin khi có lý do nghiệp vụ hợp lệ.
• Nghiêm cấm sao chép, chụp ảnh, hoặc chia sẻ dữ liệu công ty ra bên ngoài hệ thống.
• Mọi hành vi truy cập đều được hệ thống ghi nhật ký (Audit Log) và có thể bị kiểm tra bất cứ lúc nào.

2. Quản lý tài khoản và mật khẩu

• Mỗi nhân viên được cấp tài khoản riêng — không được chia sẻ tài khoản cho người khác.
• Mật khẩu phải được đổi định kỳ và giữ bí mật tuyệt đối.
• Khi phát hiện tài khoản bị xâm nhập, phải báo ngay cho Quản trị viên.
• Khi nhân viên nghỉ việc, tài khoản sẽ bị vô hiệu hóa ngay lập tức.

3. Quyền truy cập theo phân quyền

• Hệ thống áp dụng mô hình phân quyền theo chức năng (Role-based Access Control).
• Mỗi người dùng chỉ có thể truy cập các chức năng được cấp phép.
• Quản trị viên (Admin) có trách nhiệm cấp quyền phù hợp với nhiệm vụ thực tế.

4. Xử lý dữ liệu khách hàng

• Khi đặt lại mật khẩu cho người sử dụng, phải xác minh danh tính trước khi thực hiện.
• Dữ liệu xuất khẩu (Export) phải được xử lý cẩn thận và xóa sau khi hoàn thành mục đích.
• Thông tin nhạy cảm (doanh thu, lịch sử giao dịch) chỉ được xem tại hệ thống, không được ghi chép ra ngoài.

5. Giám sát và kiểm tra

• Tất cả các hành động trên hệ thống đều được ghi lại trong Nhật ký sử dụng (Audit Log).
• Quản lý có quyền kiểm tra nhật ký bất cứ lúc nào.
• Vi phạm chính sách bảo mật sẽ bị xử lý kỷ luật theo quy định của công ty.

6. Báo cáo sự cố

• Khi phát hiện lỗ hổng bảo mật hoặc hành vi truy cập bất thường, phải báo cáo ngay.
• Không được tự ý điều tra hoặc che giấu sự cố bảo mật.
• Liên hệ Quản trị viên hệ thống hoặc bộ phận IT để được hỗ trợ.