Dữ liệu Certyneo được lưu trữ ở đâu?

Tất cả dữ liệu được lưu trữ độc quyền tại Đức (IONOS SE, Frankfurt), trong Liên minh Châu Âu. Không có sao chép hoặc chia sẻ cho các máy chủ bên ngoài EU.

Certyneo có bị quy định bởi Luật Cloud Act của Mỹ không?

Không. Certyneo là một thực thể Pháp (SAS theo luật Pháp), không bị chi phối bởi quyền tài phán ngoài lãnh thổ của Luật Cloud Act Mỹ. Trái ngược với DocuSign, Adobe Sign hay Dropbox Sign (các công ty Mỹ), chính quyền Mỹ không thể buộc Certyneo phải tiết lộ dữ liệu của bạn.

Certyneo có tuân thủ RGPD không?

Có. Certyneo tuân thủ RGPD: lưu trữ EU, mã hóa TLS 1.3 trong quá trình truyền và AES-256 khi lưu trữ, DPA có sẵn (điều 28 RGPD), thời gian lưu giữ dữ liệu hạn chế và được ghi chép, quyền truy cập và xóa được tôn trọng.

Các tài liệu đã ký được bảo vệ khỏi giả mạo như thế nào?

Mỗi tài liệu đã ký được bảo vệ bằng một con dấu mật mã (hash SHA-256) ghi trong nhật ký kiểm toán có dấu thời gian. Bất kỳ sửa đổi nào đối với tài liệu sau khi ký sẽ làm con dấu không hợp lệ và được phát hiện ngay lập tức. Nhật ký kiểm toán được lưu giữ trong 10 năm.

Certyneo có DPA (Thỏa thuận Xử lý Dữ liệu) không?

Có. Certyneo cung cấp DPA tuân thủ điều 28 RGPD, có sẵn và có thể ký điện tử từ bảng điều khiển của bạn hoặc theo yêu cầu. Nó chi tiết các nhà cung cấp, các biện pháp kỹ thuật và tổ chức (TOMs), và quyền của các chủ thể dữ liệu.

Bảo mật và tuân thủ

Niềm tin là cốt lõi của Certyneo. Trang này mô tả chính xác những gì hiện có trong cơ sở hạ tầng và ứng dụng của chúng tôi ngày hôm nay.

Cập nhật ngày Ngày 17 tháng 4 năm 2026.

Sécurité Certyneo — infrastructure et chiffrement

Tuân thủ eIDAS

Chữ ký đơn giản (SES) và nâng cao (AES với OTP email + SMS) của chúng tôi đáp ứng quy định eIDAS của Liên minh Châu Âu.

Mã hóa TLS 1.3

Mọi giao tiếp client-server đều được bảo vệ bằng TLS 1.3 qua reverse proxy của chúng tôi (chứng chỉ Let's Encrypt tự động gia hạn).

Lưu trữ tại Pháp

Ứng dụng, cơ sở dữ liệu PostgreSQL và lưu trữ đối tượng đều được đặt tại cơ sở hạ tầng của chúng tôi ở Pháp (IONOS).

Audit trail của chữ ký

Mỗi hành động (mở, OTP, ký, từ chối, hết hạn) đều được đóng dấu thời gian và lưu trữ. Chân trang kiểm toán được tích hợp trong PDF đã ký.

Xác thực người ký

Đối với mức nâng cao (AES): OTP kép email + SMS (OTP SMS). Đối với đăng nhập của người gửi: email + mật khẩu, Google, Microsoft Entra.

GDPR

Tuân thủ GDPR (Quy định chung về bảo vệ dữ liệu): quyền truy cập, sửa đổi và xóa, danh mục xử lý dữ liệu.

Tuân thủ quy định

Certyneo tuân thủ các quy định châu Âu áp dụng cho chữ ký điện tử và bảo vệ dữ liệu.

eIDAS

Chữ ký SES và AES

Chữ ký điện tử đơn giản (SES) mặc định. Chữ ký điện tử nâng cao (AES) với OTP email + SMS để có giá trị chứng cứ cao hơn theo quy định (EU) số 910/2014.

GDPR

Bảo vệ dữ liệu

Tuân thủ quy định (EU) 2016/679. Dữ liệu được lưu trữ trong Liên minh Châu Âu, thời hạn lưu giữ được ghi chép, danh mục xử lý và DPA có sẵn theo yêu cầu.

Các thực hành bảo mật của chúng tôi

Đây là các biện pháp cụ thể được triển khai trong môi trường sản xuất.

Mã hóa TLS 1.3 cho mọi giao tiếp HTTP (Caddy 2, Let's Encrypt)
Băm mật khẩu scrypt (với salt và so sánh timing-safe) cho mật khẩu người dùng
Token xác minh email và đặt lại mật khẩu sử dụng một lần, hết hạn sau 1 giờ
OTP (OTP SMS) cho chữ ký nâng cao, thời hạn ngắn, dùng một lần
Rate limiting ở tầng ứng dụng (Redis) theo gói trên các endpoint nhạy cảm
Lưu trữ đối tượng tương thích S3 với versioning được bật trên tài liệu
Audit log đóng dấu thời gian ở mỗi bước trong vòng đời của một phong bì
Nhật ký kiểm toán có dấu thời gian cho mỗi bước trong vòng đời của một phong bì

Sẵn sàng ký an toàn?

5 bao thư miễn phí mỗi tháng, không cần thẻ ngân hàng. Bao gồm tuân thủ eIDAS và RGPD.

Bắt đầu miễn phí Yêu cầu demo

Security roadmap

Our upcoming milestones to strengthen trust and compliance.

Q4 2026
ISO 27001 audit
Dự kiến
ISO 27001 certification audit planned with an accredited body.
2027
SOC 2 Type II
Dự kiến
SOC 2 Type II report covering security, availability and confidentiality.

Responsible disclosure

Found a vulnerability? Please contact us responsibly before any public disclosure. We acknowledge receipt within 48 business hours.

[email protected]

Data Processing Agreement

Our DPA details Certyneo's obligations as a data processor under the GDPR, including technical and organisational measures.

Download DPA (PDF)

Các câu hỏi thường gặp về bảo mật Certyneo

Dữ liệu Certyneo được lưu trữ ở đâu?: Tất cả dữ liệu được lưu trữ độc quyền tại Đức (IONOS SE, Frankfurt), trong Liên minh Châu Âu. Không có sao chép hoặc chia sẻ cho các máy chủ bên ngoài EU.
Certyneo có bị quy định bởi Luật Cloud Act của Mỹ không?: Không. Certyneo là một thực thể Pháp (SAS theo luật Pháp), không bị chi phối bởi quyền tài phán ngoài lãnh thổ của Luật Cloud Act Mỹ. Trái ngược với DocuSign, Adobe Sign hay Dropbox Sign (các công ty Mỹ), chính quyền Mỹ không thể buộc Certyneo phải tiết lộ dữ liệu của bạn.
Certyneo có tuân thủ RGPD không?: Có. Certyneo tuân thủ RGPD: lưu trữ EU, mã hóa TLS 1.3 trong quá trình truyền và AES-256 khi lưu trữ, DPA có sẵn (điều 28 RGPD), thời gian lưu giữ dữ liệu hạn chế và được ghi chép, quyền truy cập và xóa được tôn trọng.
Các tài liệu đã ký được bảo vệ khỏi giả mạo như thế nào?: Mỗi tài liệu đã ký được bảo vệ bằng một con dấu mật mã (hash SHA-256) ghi trong nhật ký kiểm toán có dấu thời gian. Bất kỳ sửa đổi nào đối với tài liệu sau khi ký sẽ làm con dấu không hợp lệ và được phát hiện ngay lập tức. Nhật ký kiểm toán được lưu giữ trong 10 năm.
Certyneo có DPA (Thỏa thuận Xử lý Dữ liệu) không?: Có. Certyneo cung cấp DPA tuân thủ điều 28 RGPD, có sẵn và có thể ký điện tử từ bảng điều khiển của bạn hoặc theo yêu cầu. Nó chi tiết các nhà cung cấp, các biện pháp kỹ thuật và tổ chức (TOMs), và quyền của các chủ thể dữ liệu.

Tìm hiểu thêm

Đào sâu hiểu biết về quy định và các cấp độ chữ ký.