Tôi bắt đầu với Chaindoc từ đâu?

Xem hướng dẫn Bắt đầu nhanh. Hướng dẫn này sẽ hướng dẫn bạn tạo tài khoản, tải lên tài liệu đầu tiên và gửi đi để ký. Mất khoảng năm phút nếu bạn đã có sẵn tài liệu.

Có tài liệu tham khảo API không?

Có. Tài liệu tham khảo API bao gồm mọi endpoint, bao gồm xác thực, tải lên tài liệu, quản lý ngườí ký và cấu hình webhook. Mỗi endpoint đều có ví dụ về request và response mà bạn có thể thử nghiệm trong sandbox.

Chaindoc có SDK nào?

Chaindoc có SDK cho JavaScript/TypeScript, Python và Go. Trang SDK và thư viện có hướng dẫn cài đặt và mã mẫu. Nếu ngôn ngữ của bạn không có trong danh sách, REST API hoạt động với bất kỳ HTTP client nào.

Webhook hoạt động như thế nào trong Chaindoc?

Chaindoc gửi POST request đến endpoint của bạn khi có sự kiện xảy ra: tài liệu đã ký, đã xem, hết hạn, v.v. Hướng dẫn webhook cho biết cách cấu hình endpoint, xác minh chữ ký và xử lý retries.

Tôi có cần tài khoản để sử dụng sandbox của Chaindoc không?

Có, nhưng miễn phí. Đăng ký tại chaindoc.io và bạn sẽ tự động có quyền truy cập sandbox. Không cần thẻ tín dụng. Sandbox giống hệt môi trường production, vì vậy bất cứ điều gì bạn xây dựng ở đó cũng sẽ hoạt động tương tự khi bạn chuyển đổi.

Tôi có thể tìm ví dụ mã của Chaindoc ở đâu?

Mỗi trang tài liệu đều có đoạn mã nội tuyến. Để có ví dụ hoạt động đầy đủ, phần hướng dẫn bao gồm các quy trình ký từ đầu đến cuối, thao tác hàng loạt và quy trình làm việc dựa trên mẫu với mã copy-paste.

Các phương pháp bảo mật tốt nhất

Chaindoc mã hóa tài liệu khi lưu trữ (AES-256) và khi truyền tải (TLS 1.3), xác minh tính toàn vẹn trên blockchain, đồng thờilưu lại mọi hoạt động. Thành thật mà nói, đây là vấn đề bạn không nên bỏ qua. Trang này giải thích những tính năng sẵn có và những gì nên cấu hình.

Phần lớn các tính năng bảo mật hoạt động ngay từ đầu. Tuy nhiên, có những cài đặt bạn nên bật (MFA, giới hạn IP) và thói quen nhóm cần tuân theo. Điều quan trọng là rà soát quyền truy cập thường xuyên. Hướng dẫn này đề cập đến cả hai khía cạnh.

Xác thực

Xác thực đa yếu tố

Hãy bật MFA cho mọi ngườidùng, không chỉ quản trị viên. Đây là việc hiệu quả nhất bạn có thể làm. Chaindoc hỗ trợ:

Ứng dụng xác thực (TOTP) — Google Authenticator, Authy, 1Password
Mã SMS — hoạt động được nhưng kém an toàn hơn. Nên dùng ứng dụng xác thực nếu có thể.
Khóa bảo mật phần cứng (FIDO2/WebAuthn) — lựa chọn mạnh nhất
Xác thực sinh trắc học trên thiết bị di động

Chính sách mật khẩu

Nếu không dùng SSO, hãy bắt buộc mật khẩu mạnh. Chaindoc cho phép cấu hình độ dài tối thiểu (khuyến nghị 12+ ký tự), yêu cầu độ phức tạp, khoảng thờigian hết hạn, và khóa sau các lần đăng nhập thất bại. Bạn cũng có thể chặn việc tái sử dụng 10 mật khẩu gần nhất.

Phân quyền theo vai trò

Chỉ cấp quyền truy cập mà ngườidùng cần. Chaindoc có sẵn các vai trò (Chủ sở hữu, Quản trị viên, Quản lý, Thành viên, Khách, Kiểm toán viên) và hỗ trợ vai trò tùy chỉnh với quyền theo từng hành động. Nên rà soát phân công hàng quý và gỡ bỏ quyền không còn cần thiết. Xem tài liệu quản lý nhóm để biết cách thiết lập.

Mã hóa

Khi lưu trữ

Mọi tài liệu đều được mã hóa bằng AES-256 khi lưu trữ. Bản sao lưu được mã hóa bằng khóa riêng. Các khóa mã hóa được quản lý qua KMS (dịch vụ quản lý khóa) chuyên dụng và xoay vòng hàng quý.

Khi truyền tải

Mọi kết nối đều sử dụng TLS 1.3. Các bộ mã yếu đều bị vô hiệu hóa. Header HSTS được thiết lập để trình duyệt không bao giờ hạ cấp xuống HTTP. Điều này áp dụng cho ứng dụng web, API, và giao dịch blockchain.

Bảo mật khóa API

Khóa API là nguyên nhân phổ biến nhất của các vấn đề bảo mật. Thành thật mà nói, một khóa bí mật bị lộ sẽ cung cấp quyền truy cập đầy đủ vào tài khoản Chaindoc của bạn.

Quy tắc quản lý khóa

Không bao giờ đặt khóa bí mật (`sk_`) trong mã phía khách hàng. Chúng chỉ thuộc về backend. Lưu khóa trong biến môi trường hoặc trình quản lý bí mật (không trong repo). Dùng khóa thử nghiệm (`sk_test_`) khi phát triển. Xoay vòng khóa production mỗi 90 ngày. Nếu khóa bị lộ, thu hồi ngay trong bảng điều khiển.

Khóa công khai (`pk_`) được thiết kế để dùng trên frontend và chỉ có quyền đọc, nên an toàn khi đưa vào bundle phía khách hàng. Để biết thêm về các loại khóa, xem hướng dẫn tích hợp API.

Xác minh blockchain

Mỗi tài liệu được xuất bản đều có hash ghi trên blockchain. Trong thực tế, đây là vấn đề cốt lõi của chống giả mạo. Ngay cả khi ai đó truy cập trực tiếp vào cơ sở dữ liệu, họ cũng không thể sửa đổi tài liệu mà không làm hash blockchain trở nên không hợp lệ.

Hash tài liệu được ghi tại thờidiểm xuất bản và mỗi lần thay đổi trạng thái (chữ ký, hủy bỏ, v.v.)
Biên lai giao dịch được lưu cùng tài liệu để dễ xác minh
Bất kỳ ai cũng có thể độc lập xác minh tài liệu với bản ghi blockchain
Bản ghi là vĩnh viễn — tồn tại ngay cả khi Chaindoc không còn hoạt động

Với các tài liệu giá trị cao, nên xác minh bản ghi blockchain sau khi ký để đảm bảo mọi thứ khớp nhau.

Bảo mật webhook

Nếu bạn đang dùng webhook, hãy xác minh chữ ký HMAC trên mọi yêu cầu đến. Không có điều này, ai đó có thể gửi sự kiện giả mạo đến endpoint của bạn. Hướng dẫn webhook có mã xác minh.

Tuân thủ

Hạ tầng Chaindoc được chứng nhận SOC 2 Type II. Tùy ngành của bạn, có thể cần cấu hình thêm:

GDPR — tùy chọn lưu trữ dữ liệu (EU, US, Asia), quyền xóa dữ liệu, khả năng di chuyển dữ liệu. Chính sách lưu giữ tài liệu xử lý việc xóa tự động.
HIPAA — ghi log kiểm toán và kiểm soát truy cập cho tài liệu y tế. Liên hệ hỗ trợ để có BAA.
SOC 2 — các biện pháp kiểm soát bảo mật được tài liệu hóa. Kiểm toán bên thứ ba hàng năm.
eIDAS / ESIGN Act / UETA — tuân thủ chữ ký được tích hợp cho cả ba loại chữ ký.
ISO 27001 — các thực tiễn quản lý bảo mật thông tin phù hợp với ISO 27001.

Ghi log kiểm toán

Chaindoc ghi lại mọi hành động: đăng nhập, truy cập tài liệu, chỉnh sửa, sự kiện chữ ký, thay đổi quyền, và cuộc gọi API. Log được lưu trong hệ thống chống giả mạo và giữ ít nhất một năm (lâu hơn nếu chính sách lưu giữ của bạn yêu cầu).

Bạn có thể xuất log kiểm toán để đánh giá tuân thủ bên ngoài. Các lần đăng nhập thất bại và hoạt động đáng ngờ sẽ kích hoạt cảnh báo nếu bạn đã cấu hình giám sát.

Giám sát và ứng phó sự cố

Thiết lập cảnh báo cho các lần đăng nhập thất bại, hoạt động API bất thường, và leo thang quyền. Chaindoc tích hợp với hệ thống SIEM nếu nhóm bảo mật của bạn đang dùng.

Hãy chuẩn bị kế hoạch ứng phó sự cố. Biết liên hệ ai, cần tắt gì, và cách thông báo về vi phạm. Thử nghiệm kế hoạch ít nhất một lần mỗi năm. Để báo cáo sự cố bảo mật liên quan đến Chaindoc, liên hệ security@chaindoc.com.

Danh sách kiểm tra trước production

Chạy qua danh sách này trước khi đưa vào sử dụng:

MFA đã bật cho tất cả tài khoản
Chính sách mật khẩu đã cấu hình (12+ ký tự, khóa sau 5 lần thất bại)
Vai trò được phân công với quyền truy cập tối thiểu
Mã hóa AES-256 đã xác nhận (bật mặc định)
TLS 1.3 được thực thi trên mọi endpoint
Khóa API được lưu trong biến môi trường hoặc trình quản lý bí mật
Khóa thử nghiệm đã thay bằng khóa live
Giới hạn tốc độ được cấu hình cho các endpoint API
Xác minh HMAC webhook đã triển khai
Ghi log kiểm toán đã bật và thờigian lưu giữ đã đặt
Giám sát bảo mật và cảnh báo đã cấu hình
Kế hoạch ứng phó sự cố đã được tài liệu hóa
Bản sao lưu đã thử nghiệm (thử khôi phục)
Yêu cầu tuân thủ đã được tài liệu hóa và đáp ứng

Các bước tiếp theo

Quản lý nhóm — thiết lập vai trò và kiểm soát truy cập
Chữ ký — tìm hiểu các loại chữ ký và tuân thủ
Tích hợp API — bảo mật triển khai API của bạn
Webhook — xác minh HMAC và xử lý sự kiện
Tài liệu — kiểm soát truy cập và chính sách lưu giữ