Nhảy tới nội dung

Cấu hình bảo mật

Tài liệu này mô tả và hướng dẫn cách cấu hình các tùy chọn bảo mật cho luồng sử dụng eKYC trên trang FPT AI eKYC Portal. Một số tùy chọn sẽ được bật mặc định, một số khác sẽ được tắt do cần có sự phối hợp của FPT AI và khách hàng để sử dụng hiệu quả. Khách hàng cần xem xét kỹ các tùy chọn này để cân nhắc sử dụng phù hợp với nhu cầu của mình.

Để truy cập trang này, bạn cần đăng nhập vào hệ thống eKYC Portal, chọn ngôn ngữ VI và chọn tab Cấu hình eKYC ở menu bên trái. Sau đó, chọn Bảo mật ở menu phụ.

alt text

Các biện pháp bảo mật chính cho luồng eKYC có thể được áp dụng bao gồm:

  1. Mã hóa dữ liệu truyền nhận
  2. Mã hóa dữ liệu lưu trữ
  3. Kiểm tra tính toàn vẹn của dữ liệu truyền nhận
  4. Kiểm tra tính xác thực của Client UUID
ghi chú

Riêng tùy chọn Kiểm tra tính toàn vẹn của dữ liệu truyền nhận được bật mặc định và không thể tắt, do đó khách hàng không cần thiết phải cấu hình trên eKYC Portal.

1. Mã hóa dữ liệu truyền nhận

Mã hóa dữ liệu truyền nhận

  • Mô tả:

    • Mã hóa dữ liệu truyền nhận là tùy chọn để đảm bảo tính bảo mật và an toàn của dữ liệu trong quá trình truyền nhận. Tùy chọn này sẽ được tắt mặc định.
    • Cách thức mã hóa dữ liệu được hệ thống sử dụng là mô hình mã hóa lai (hybrid encryption) để đảm bảo tính bảo mật và hiệu năng trong quá trình truyền nhận dữ liệu giữa các thành phần. Cơ chế này kết hợp hai thuật toán mã hóa: RSA (bất đối xứng) và AES-256 (đối xứng), nhằm tận dụng điểm mạnh của cả hai phương pháp.
      • AES-256 được sử dụng để mã hóa dữ liệu chính (payload), đảm bảo tốc độ xử lý nhanh và bảo mật cao cho dữ liệu lớn.
      • RSA được sử dụng để mã hóa khóa AES (symmetric key), đảm bảo khóa phiên (session key) chỉ có thể được giải mã bởi bên nhận hợp lệ.

  • Cách cấu hình: Sử dụng nút gạt để bật hoặc tắt tính năng này.

ghi chú

Khách hàng sử dụng mã hóa dữ liệu truyền nhận sẽ không thể lấy được dữ liệu từ Proxy Server do đã bị mã hóa (xem tài liệu về Tích hợp sử dụng Proxy Server). Khách hàng sẽ phải lấy dữ liệu và kết quả eKYC thông qua callback hoặc API get_result của server eKYC (xem tài liệu Lấy kết quả eKYC).

2. Mã hóa dữ liệu lưu trữ

Mã hóa dữ liệu lưu trữ

  • Mô tả:

    • Mã hóa dữ liệu lưu trữ là tùy chọn để đảm bảo tính bảo mật và an toàn của dữ liệu trong quá trình lưu trữ. Tùy chọn này sẽ được tắt mặc định.
    • Phương thức mã hóa được sử dụng là mã hóa server-side dùng key do khách hàng cung cấp (Server-Side Encryption with Customer-Provided Keys (SSE-C)) với hệ thống eKYC đóng vai trò là customer.

  • Cách cấu hình: Sử dụng nút gạt để bật hoặc tắt tính năng này.

thông tin

Việc mã hóa dữ liệu lưu trữ của hệ thống FPT AI eKYC được cung cấp bởi dịch vụ Object Storage của FPT Cloud. Khách hàng có thể tham khảo thêm về phương thức này trong tài liệu FPT Object Storage Encryption.

3. Kiểm tra tính toàn vẹn của dữ liệu truyền nhận

  • Mô tả:
    • Kiểm tra tính toàn vẹn của dữ liệu truyền nhận là tùy chọn để đảm bảo tính bảo mật và an toàn của dữ liệu trong quá trình truyền nhận. Tùy chọn này sẽ được bật mặc địnhkhông thể tắt.
    • Cơ chế kiểm tra như sau:
      • Một mã bí mật được băm cùng với dữ liệu truyền nhận để tạo ra mã băm.
      • Mã băm này sau đó được gửi kèm với dữ liệu từ client đến eKYC Server.
      • eKYC server sẽ so sánh mã băm nhận được với mã băm được tạo ra bởi chính eKYC server theo cùng một cách thức như trên. Nếu hai mã băm không trùng khớp, thì dữ liệu truyền nhận sẽ bị coi là không hợp lệ và sẽ không được xử lý.
warning

Hiện tại tùy chọn này chưa được áp dụng cho khách hàng tích hợp thông qua Web SDK hoặc APIs mà chỉ áp dụng cho khách hàng tích hợp thông qua Mobile SDK.

4. Kiểm tra tính xác thực của Client UUID

Kiểm tra tính xác thực của Client UUID

  • Mô tả:
    • Kiểm tra tính xác thực của Client UUID là cơ chế bảo mật bổ sung (bên cạnh API key và token) để đảm bảo request mà hệ thống eKYC nhận được đúng là từ phía khách hàng. Tùy chọn này sẽ được tắt mặc định.
    • Cơ chế kiểm tra như sau:
      • Trước khi khởi tạo luồng eKYC, client gửi request tạo Client UUID về server của khách hàng.
      • Server của khách hàng sinh ra Client UUID đồng thời băm cùng một mã bí mật được cấu hình trên eKYC Portal.
      • Client UUID và mã băm này sau đó sẽ được gửi kèm trong các request của luồng eKYC.
      • eKYC server sẽ so sánh mã băm nhận được với mã băm được tạo ra bởi chính eKYC server theo cùng một cách thức như trên. Nếu hai mã băm không trùng khớp, thì request sẽ bị coi là không hợp lệ và sẽ không được xử lý.
    • Lưu đồ cơ chế kiểm tra như sau:

UUID Verify

  • Cách cấu hình:
    • Sử dụng nút gạt để bật hoặc tắt tính năng này.
    • Điền mã bí mật vào ô Pre-shared key sau khi bật.
warning

Nhằm đảm bảo tính bảo mật khi áp dụng tùy chọn này, khách hàng cần tự xây dựng cơ chế an toàn để gửi nhận Client UUID từ server đến client và đảm bảo tính bí mật trong phương thức sinh Client UUID ở server.

ghi chú
  • Đảm bảo nhấn nút Cập nhật thông tin sau khi thực hiện các thay đổi để áp dụng cấu hình mới.
  • Nếu có bất kỳ vấn đề nào, vui lòng liên hệ với bộ phận hỗ trợ kỹ thuật.