Bảo mật & Tuân thủ

Xây dựng cho bảo vệ dữ liệu và tuân thủ nghiêm túc.

Bảo mật là nền tảng tại Tiquo. Nền tảng được thiết kế để bảo vệ dữ liệu khách hàng, giảm rủi ro kinh doanh và đáp ứng kỳ vọng doanh nghiệp và quy định. Bảo mật và tuân thủ không phải là suy nghĩ sau, chúng là một phần của kiến trúc.

Khám phá nền tảng

Bảo mật doanh nghiệp

Kiểm soát bảo mật cấp doanh nghiệp.

Mã hóa mạnh và bảo mật hạ tầng.

Dữ liệu được mã hóa khi lưu trữ và truyền tải. Thông tin nhạy cảm được bảo vệ bởi các tiêu chuẩn mật mã hiện đại.

Xác thực và kiểm soát người dùng.

Truy cập theo vai trò và quyền chi tiết cho phép bạn kiểm soát ai có thể xem hoặc thay đổi dữ liệu. Xác thực tích hợp với các thực tiễn tốt nhất trong ngành.

Quản lý danh tính và truy cập.

Xác thực đa yếu tố và kiểm soát phiên an toàn giúp đảm bảo chỉ người dùng được ủy quyền mới có thể vận hành trong hệ thống.

Nhật ký kiểm toán và truy nguyên.

Mọi thay đổi đều được ghi nhận với bản ghi chi tiết để bạn có thể xem xét hoạt động cho yêu cầu trách nhiệm giải trình và tuân thủ.

Tuân thủ

Tuân thủ bạn có thể tin tưởng.

Kiểm soát tuân thủ SOC 2 Type II.

Tiquo được xây dựng để đáp ứng nguyên tắc bảo mật SOC 2 Type II và đang tiến hành quy trình kiểm toán.

Tuân thủ GDPR và bảo vệ dữ liệu.

Thực tiễn quyền riêng tư dữ liệu được căn chỉnh với yêu cầu bảo vệ dữ liệu châu Âu, hỗ trợ nghĩa vụ tuân thủ của bạn cho dữ liệu khách hàng.

Tuân thủ PCI qua Stripe cho thanh toán.

Thanh toán được xử lý qua hạ tầng đạt chứng nhận PCI của Stripe nên dữ liệu thẻ không bao giờ được lưu trên máy chủ Tiquo.

Tối thiểu hóa dữ liệu và kiểm soát xử lý.

Nền tảng giới hạn thu thập dữ liệu ở mức cần thiết và cung cấp kiểm soát cho lưu giữ và xử lý hợp pháp.

Bảo mật vận hành

Bảo mật vận hành tích hợp.

Hạ tầng và độ tin cậy thời gian hoạt động.

Tiquo chạy trên hạ tầng đám mây an toàn với khả dụng đo lường được và khả năng chống chịu gián đoạn dịch vụ.

Triển khai và bảo trì an toàn.

Cập nhật phần mềm và bảo trì tuân theo thực tiễn xây dựng và triển khai an toàn để giảm lỗ hổng.

Kiểm tra xâm nhập và quét lỗ hổng.

Quét lỗ hổng và kiểm tra định kỳ giúp xác định và khắc phục rủi ro bảo mật trước khi ảnh hưởng vận hành.

Sẵn sàng ứng phó sự cố.

Quy trình ứng phó sự cố bảo mật được định nghĩa để hỗ trợ xử lý nhanh chóng và có trách nhiệm các sự kiện có thể ảnh hưởng đến dữ liệu hoặc dịch vụ.

99,99%

SLA thời gian hoạt động được đảm bảo

256-bit

tiêu chuẩn mã hóa AES

24/7

giám sát bảo mật

<15 phút

thời gian phản hồi sự cố

Quản trị dữ liệu

Quản trị dữ liệu và minh bạch.

Truy cập và kiểm soát theo chính sách.

Định nghĩa ai có thể xem, sửa đổi hoặc quản lý dữ liệu dựa trên trách nhiệm tổ chức và yêu cầu tuân thủ.

Chính sách xuất và lưu giữ có kiểm soát.

Kiểm soát báo cáo và xuất dữ liệu giúp đảm bảo truy cập và trích xuất dữ liệu nhất quán với chính sách kinh doanh.

Tầm nhìn vào hành vi hệ thống.

Ghi nhật ký và báo cáo an toàn cho phép người dùng được ủy quyền truy nguyên hành động trên nền tảng với sự rõ ràng.

Sẵn sàng doanh nghiệp

Cho môi trường có quy định và doanh nghiệp.

Hỗ trợ thực tiễn bảo mật doanh nghiệp.

Kiểm soát và sẵn sàng kiểm toán của Tiquo hỗ trợ đánh giá bảo mật, đánh giá nhà cung cấp và yêu cầu doanh nghiệp.

Tài liệu cho đánh giá tuân thủ.

Tài liệu công khai toàn diện cung cấp sự minh bạch về cách Tiquo xử lý quyền riêng tư, bảo mật, xử lý và quản trị.

Hỗ trợ cam kết bảo mật hợp đồng.

Thỏa thuận xử lý dữ liệu, điều khoản quyền riêng tư và cam kết tuân thủ có sẵn cho khách hàng yêu cầu đảm bảo pháp lý chính thức.

Control Library

Security, privacy, fiscal, payment, and accessibility coverage.

A detailed view of the operational safeguards, compliance obligations, standards, and transfer mechanisms that support Tiquo's platform governance.

141

certifications, standards and safeguards

Summary

GDPR · CCPA · PCI DSS · ICO · EU–US DPF · SOC 2 Type II (in progress) · ISO 27001 (in progress)

99.99% SLA Uptime

AES-256 encryption at rest

TLS 1.3 in transit

PCI DSS Level 1

SOC 2 Type II - audit in progress

ISO/IEC 27001 - audit in progress

Security & Operational

99.99% SLA Uptime
AES-256 encryption at rest
TLS 1.3 in transit
AES-256 / TLS 1.3
Perfect Forward Secrecy (PFS)
HTTP Strict Transport Security (HSTS)
99.999999999% (11 nines) data durability
Automated backups
DDoS protection
Web Application Firewall (WAF)
Zero Trust posture
Role-Based Access Control (RBAC)
Principle of Least Privilege
Secret scanning in CI
SBOM generation
Dependency supply-chain controls
24/7 infrastructure monitoring
GDPR Article 22 safeguards
Data Protection Impact Assessments (DPIAs)
Records of Processing Activities (ROPA)
SAML 2.0 SSO
EASIE SSO
OAuth 2.0 / OpenID Connect (OIDC)
SCIM 2.0 provisioning
MFA / 2FA enforcement
Responsible disclosure / bug bounty programme

Privacy, Data Protection & Statutory Obligations

ICO Registered
UK Modern Slavery Act 2015 compliant
UK Public Interest Disclosure Act 1998 compliant
EU Article 27 Representative appointed (Paris, France)
Swiss FADP Article 14 Representative appointed
UK GDPR compliant
EU GDPR/DSGVO compliant
UK Data Protection Act 2018 compliant
Swiss revFADP compliant
CCPA / CPRA compliant (California)
VCDPA compliant (Virginia)
CPA compliant (Colorado)
CTDPA compliant (Connecticut)
TDPSA compliant (Texas)
OCPA compliant (Oregon)
MCDPA compliant (Montana)
FDBR compliant (Florida)
ICDPA compliant (Iowa)
ICDPA compliant (Indiana)
TIPA compliant (Tennessee)
DPDPA compliant (Delaware)
NJDPA compliant (New Jersey)
NHDPA compliant (New Hampshire)
NDPA compliant (Nebraska)
MCDPA compliant (Minnesota)
MODPA compliant (Maryland)
KCDPA compliant (Kentucky)
RIDTPPA compliant (Rhode Island)
Canada PIPEDA compliant
Quebec Law 25 compliant
Alberta PIPA compliant
British Columbia PIPA compliant
Singapore PDPA compliant
Hong Kong PDPO compliant
Brazil LGPD compliant
Japan APPI compliant
Australia Privacy Act / APPs compliant
India DPDPA 2023 compliant
Thailand PDPA compliant
Malaysia PDPA 2010 (as amended 2024) compliant
New Zealand Privacy Act 2020 compliant
South Africa POPIA compliant
UAE PDPL compliant
Mexico LFPDPPP compliant
Kenya Data Protection Act 2019 compliant
Ghana Data Protection Act 2012 compliant
Nigeria NDPA 2023 compliant
Indonesia PDP Law 2022 compliant
Philippines Data Privacy Act 2012 compliant

Global Fiscal & E-Invoicing

EN 16931 - EU e-invoicing core standard
UBL 2.1 - Universal Business Language
Austria - RKSV
Belgium - Peppol BIS 3.0 (B2B)
Czechia - fiscalization
Croatia - Fiscalization 2.0
Denmark - Peppol BIS 3.0 (B2B)
France - NF525 / LNE / Infocert, Factur-X / PDP, E-Reporting
Germany - KassenSichV / TSE, DSFinV-K, GoBD, E-Rechnung B2B (XRechnung / ZUGFeRD)
Hungary - Online Szamla
Italy - Scontrino, FatturaPA (via SDI)
Lithuania - i.SAF / i.MAS
Norway - Peppol BIS 3.0 (B2B), SAF-T
Poland - KSeF
Portugal - ATCUD/QR, SAF-T PT
Slovakia - eKasa
Slovenia - fiscalization (davcno potrjevanje)
Spain - FacturaE, SII, VeriFactu, TicketBAI
Sweden - SKVFS (certified cash registers)
Argentina - ARCA (Q4 2026)
Australia - Peppol PINT A-NZ (Q4 2026)
Brazil - NFe, NFCe, NFSe (Q4 2026)
Chile - SII Chile (Q4 2026)
Colombia - DIAN (Q4 2026)
Finland - Finvoice, TEAPPSXML (Q4 2026)
Japan - JP PINT (Peppol) (Q3 2026)
Malaysia - Peppol Malaysia (Q4 2026)
Mexico - CFDI (Q4 2026)
New Zealand - Peppol PINT A-NZ (Q4 2026)
Peru - SUNAT (Q4 2026)
Romania - Peppol (RO e-invoice) (Q4 2026)
Saudi Arabia - ZATCA (Q4 2026)
Singapore - Peppol BIS 3.0 (Q4 2026)
United Arab Emirates - Peppol (5C) (Q4 2026)

Standards & Frameworks

SOC 2 Type II - audit in progress
ISO/IEC 27001 - audit in progress
NIST Cybersecurity Framework - aligned
NIST Privacy Framework - aligned
NIST SP 800-53 / 800-63 / 800-63B - aligned
NIST AI Risk Management Framework - aligned
CIS Critical Security Controls / CIS Benchmarks - aligned
OWASP ASVS & OWASP Top Ten - aligned
ISO 25010 (quality) - aligned
ISO 31000 (risk) - aligned
ITIL - aligned
W3C Web Standards - aligned
OpenAPI Standard - aligned
DevSecOps practices - aligned
ePrivacy Directive - aligned
EU Whistleblowing Directive (2019/1937) - aligned

Payments Compliance

PCI DSS Level 1
PSD2 / Strong Customer Authentication
3D Secure (3DS)
EMVCo Level 1 & 2
AML / KYC controls
Sanctions screening (OFAC, UN, EU, HMT)

International Data Transfer Mechanisms

EU-US Data Privacy Framework
EU Standard Contractual Clauses (Decision 2021/914) - Modules 2 & 3
UK International Data Transfer Agreement (IDTA) + ICO Addendum
Swiss FDPIC-recognised transfer mechanisms
APEC Cross-Border Privacy Rules (CBPR)

Accessibility Compliance

ADA (Americans with Disabilities Act) - aligned
European Accessibility Act (EAA) 2025 - aligned
WCAG 2.2 - aligned
EN 301 549 - aligned
WAI-ARIA - aligned

Câu hỏi thường gặp

Dữ liệu được bảo vệ như thế nào trong Tiquo?

Tiquo bảo vệ dữ liệu bằng mã hóa khi lưu trữ và truyền tải, xác thực an toàn, truy cập theo vai trò, nhật ký kiểm toán và kiểm soát bảo mật hiện đại.

Tiquo có đáp ứng tiêu chuẩn tuân thủ ngành không?

Có. Nền tảng phù hợp với nguyên tắc bảo mật SOC 2 Type II, tuân thủ PCI cho thanh toán qua Stripe và thực hành quyền riêng tư dữ liệu nhất quán với yêu cầu quyền riêng tư châu Âu.

Dữ liệu thanh toán có lưu trên Tiquo không?

Không. Dữ liệu thẻ và thông tin thanh toán nhạy cảm được xử lý bởi Stripe và không lưu trên máy chủ Tiquo.

Tôi có thể kiểm soát ai truy cập dữ liệu nhạy cảm không?

Có. Quyền theo vai trò và kiểm soát người dùng cho phép bạn hạn chế truy cập dựa trên trách nhiệm công việc và chính sách tổ chức.

Tiquo có thực hiện kiểm tra bảo mật không?

Có. Quét lỗ hổng và kiểm tra thường xuyên là một phần của quy trình phát triển và triển khai.

Tài liệu nào có sẵn cho đánh giá tuân thủ?

Tài liệu pháp lý và tuân thủ công khai có sẵn bao gồm chính sách quyền riêng tư, thỏa thuận xử lý dữ liệu, điều khoản bảo mật và tài liệu quản trị khác.

Tiquo hỗ trợ yêu cầu bảo mật doanh nghiệp như thế nào?

Tiquo cung cấp kiểm soát truy cập theo vai trò, nhật ký kiểm toán, kiểm soát hạ tầng an toàn, mã hóa và tài liệu cần thiết cho đánh giá bảo mật doanh nghiệp hoặc đánh giá nhà cung cấp.