Bảo mật tại Kintaria
Kintaria nắm giữ thông tin sức khỏe về những người đang trong những khoảnh khắc dễ tổn thương. Chúng tôi xem trọng điều đó. Trang này ghi lại những gì đã sẵn sàng hôm nay, những gì sắp tới, và những gì chúng tôi chưa làm được — viết cho một thành viên gia đình muốn biết quý vị đang giao phó điều gì cho chúng tôi, chứ không chỉ cho người kiểm toán.
1. Các biện pháp kiểm soát đã có hôm nay
Bảo mật mức dòng (RLS) trên mọi bảng
Mỗi dòng dữ liệu được bảo vệ bằng việc kiểm tra tư cách thành viên gia đình ngay bên trong Postgres. Ngay cả khi mã ứng dụng của chúng tôi có lỗi, cơ sở dữ liệu vẫn từ chối trả về dữ liệu của một gia đình khác.
Nhật ký kiểm toán cho mọi thay đổi
Mỗi lần chèn, cập nhật, hay xóa nội dung không gian làm việc sẽ ghi một dòng vào bảng audit — ai, làm gì, khi nào. Dựa trên trigger, mã ứng dụng không thể bỏ qua.
Mã hóa khi truyền và khi lưu trữ
Mọi kết nối dùng TLS 1.2+. Lưu trữ cơ sở dữ liệu và tệp tin đều được nhà cung cấp nền tảng (Supabase / Postgres / Supabase Storage) mã hóa khi lưu trữ.
Liên kết chia sẻ có thời hạn
Liên kết "Chia sẻ với bác sĩ" dùng token ngẫu nhiên 32 byte, tự động hết hạn (1–90 ngày) và có thể thu hồi tức thì. Người nhận không thấy được ai khác đang ở trong không gian của quý vị, cũng không thấy dữ liệu ngoài các phần đã chọn.
Đăng nhập bằng liên kết, không mật khẩu
Đăng nhập dùng liên kết một lần gửi qua email. Không có mật khẩu nào để rò rỉ, dùng lại, hay bị đánh cắp qua phishing. Phiên đăng nhập là cookie HTTP-only gắn với thiết bị.
Ghi chú chỉ dành cho người chăm sóc
Ghi chú có thể đánh dấu chỉ hiển thị cho chủ sở hữu + người chăm sóc, ẩn với vai trò cha mẹ và người quan sát. Được bắt buộc ở máy chủ — người không phải người chăm sóc thì kể cả gọi API trực tiếp cũng không viết được ghi chú ẩn.
Cách ly khóa dịch vụ
Khóa dịch vụ đặc quyền của Supabase chỉ nằm trên máy chủ, không bao giờ gửi đến trình duyệt. Ứng dụng dùng khóa công khai cho lưu lượng thông thường, chỉ chuyển sang khóa đặc quyền cho các thao tác quản trị (gieo dữ liệu demo, giải mã liên kết chia sẻ).
Tiêu đề bảo mật
Strict-Transport-Security, X-Frame-Options DENY, X-Content-Type-Options nosniff, Referrer-Policy strict-origin-when-cross-origin, Permissions-Policy từ chối camera/micro/định vị. Tên miền phụ của ứng dụng được cấu hình không cho lập chỉ mục.
2. Ai thấy được gì
Bốn vai trò trong một không gian làm việc, mỗi vai trò có quyền truy cập hẹp dần. Không vai trò nào trong số đó thấy được không gian của gia đình khác — đó là một bảo đảm ở lớp cơ sở dữ liệu, không phải chỉ là chính sách.
| Vai trò | Đọc | Ghi | Ghi chú chỉ người chăm sóc |
|---|---|---|---|
| Chủ sở hữu | Mọi thứ trong không gian | Mọi thứ | Đọc và ghi |
| Người chăm sóc | Mọi thứ trong không gian | Mọi thứ trừ xóa không gian | Đọc và ghi |
| Cha mẹ (người được chăm sóc) | Mọi thứ trừ ghi chú chỉ người chăm sóc | Ghi chú, hồ sơ, lịch hẹn, thuốc, tài liệu | Ẩn |
| Người quan sát | Mọi thứ trừ ghi chú chỉ người chăm sóc | Không có | Ẩn |
Nhân viên Kintaria không thể đọc nội dung không gian làm việc trong quá trình vận hành thông thường. Vai trò cơ sở dữ liệu đặc quyền mà đội kỹ thuật dùng cho migration và xử lý sự cố đều được ghi nhật ký và giới hạn; chúng tôi sẽ không bao giờ âm thầm xem dữ liệu gia đình quý vị.
3. Dữ liệu của quý vị được lưu ở đâu
Toàn bộ nội dung không gian làm việc được lưu trong một dự án Supabase duy nhất ở vùng Hoa Kỳ (cơ sở dữ liệu + lưu trữ). Không sao chép giữa các vùng. Không có cache CDN cho các trang trong không gian.
Trang công khai (thrive.me) được lưu trữ trên mạng lưới của Vercel và Cloudflare và chỉ phục vụ nội dung tĩnh, không cá nhân (trang giới thiệu, văn bản chính sách, nội dung tiếp thị). Tra cứu số điện thoại cho đường dây thoại chạy trên Fly.io.
4. Danh sách nhà cung cấp
Mỗi dịch vụ bên thứ ba có chạm vào dữ liệu của quý vị, mô tả bằng ngôn ngữ rõ ràng, kèm trạng thái Thỏa thuận Đối tác Doanh nghiệp (BAA):
| Nhà cung cấp | Vai trò | BAA |
|---|---|---|
| Supabase | Cơ sở dữ liệu + lưu trữ + xác thực | Gói Pro, có sẵn BAA — đang triển khai |
| Vercel | Lưu trữ ứng dụng + trang công khai | Cần gói Enterprise để có BAA — chưa đạt |
| Anthropic (Claude) | Tính năng AI: tóm tắt thăm khám, trích xuất xét nghiệm, gắn nhãn tài liệu — chỉ khi người dùng đồng ý bật | Cần bậc Enterprise để có BAA — đang trao đổi |
| Resend | Email giao dịch (lời mời, thông báo, bản tóm tắt) | Có sẵn BAA — đang triển khai |
| Twilio | SMS cho cảnh báo khẩn cấp (tùy chọn bật) | Có sẵn BAA — đang triển khai |
| Cloudflare | DNS + edge cho trang công khai thrive.me | Dữ liệu không gian làm việc không đi qua đây |
| Plausible | Phân tích trang không dùng cookie, tôn trọng quyền riêng tư | Chỉ con số tổng hợp, không có PII |
5. Tính năng AI
Các tính năng AI (tóm tắt thăm khám, phân loại tài liệu, trích xuất kết quả xét nghiệm từ ảnh) tắt theo mặc định. Chủ sở hữu không gian phải bật chúng một cách rõ ràng trong Cài đặt → Tính năng AI. Khi AI tắt, không có nội dung nào trong không gian được gửi tới dịch vụ AI nào cả.
Khi AI bật: nội dung được gửi tới Anthropic (Claude) qua kết nối TLS; Anthropic không dùng nội dung API để huấn luyện mô hình của họ (đây là chính sách mặc định, không cần opt-in); Anthropic giữ nội dung API tối đa 30 ngày để rà soát về tin cậy và an toàn, sau đó xóa; chúng tôi chỉ gửi nội dung tối thiểu cần thiết cho từng tính năng; mọi trang có AI đều hiển thị banner nhắc rằng AI đang ở giai đoạn xem trước và quý vị nên kiểm tra lại kết quả.
6. Chia sẻ với nhà cung cấp dịch vụ y tế
Tính năng "chia sẻ với bác sĩ" giúp một người chăm sóc trao cho bác sĩ, phòng cấp cứu, nhân viên xã hội hay luật sư một bản chỉ đọc của hồ sơ cha mẹ mà không cần người đó tạo tài khoản. Token là chuỗi ngẫu nhiên mật mã 32 byte — gần như không thể đoán. Quý vị chọn phần nào được đưa vào. Liên kết tự động hết hạn. Quý vị có thể thu hồi bất cứ lúc nào. Mỗi lần truy cập đều được đếm. Người nhận không thể thấy bất cứ điều gì ngoài các phần đã chọn — kể cả các thành viên gia đình khác hay lịch sử không gian. Trang chia sẻ không được lập chỉ mục trên công cụ tìm kiếm.
Hãy xem URL như một mật khẩu dùng một lần. Đừng đăng nó lên diễn đàn công khai. Với người nhận nhạy cảm, hãy gửi qua tin nhắn trên cổng bệnh nhân hoặc qua điện thoại thay vì SMS thông thường.
7. Lập trường về HIPAA — nói thẳng
Kintaria chưa là một đơn vị thuộc phạm vi HIPAA. Chúng tôi đang ở giai đoạn trước khi ra mắt và chưa có Thỏa thuận Đối tác Doanh nghiệp với mọi nhà cung cấp chạm vào dữ liệu không gian làm việc.
Kiến trúc được xây dựng theo các biện pháp kiểm soát phù hợp với HIPAA (nhật ký kiểm toán, mã hóa, kiểm soát truy cập, công bố tối thiểu cần thiết, thực hành phát triển an toàn). Khung BAA chính thức, Thông báo Thực hành Quyền riêng tư, và các chính sách vận hành mà HIPAA yêu cầu (xử lý sự cố, thông báo vi phạm, đào tạo nhân viên, danh sách đối tác doanh nghiệp) đều nằm trên lộ trình chuẩn bị trước khi ra mắt. Cho đến khi chúng hoàn tất và BAA của chúng tôi với Supabase, Anthropic, Resend và Twilio được ký, vui lòng đừng tải lên bất cứ điều gì mà hôm nay cần phải có hợp đồng HIPAA bảo vệ.
Khi chúng tôi đạt đến mức ra mắt rộng rãi với khung BAA đầy đủ, trang này sẽ được cập nhật và chúng tôi sẽ đề nghị BAA cho các tổ chức cần (phòng khám, FQHC, công ty điều phối chăm sóc, v.v.).
Đạo luật Quản trị AI có Trách nhiệm của Texas (TRAIGA, có hiệu lực từ ngày 1 tháng 1 năm 2026). Texas hiện yêu cầu các nhà hành nghề y tế có giấy phép phải cung cấp cho bệnh nhân một công bố bằng văn bản rõ ràng về bất kỳ việc sử dụng AI nào trong chẩn đoán hoặc điều trị. Các tính năng AI của Kintaria (tóm tắt thăm khám, trích xuất xét nghiệm, gắn nhãn tài liệu) tắt theo mặc định và cần chủ sở hữu không gian bật rõ ràng theo từng tính năng — được thiết kế để một bác sĩ Texas, khi xem các ghi chú do một người chăm sóc trong gia đình mang đến, có thể công bố chính xác mức độ tham gia của AI khi cần.
Cập nhật Quy tắc An ninh HIPAA của HHS (quy tắc cuối dự kiến cuối năm 2026). Quy tắc đề xuất sẽ yêu cầu mã hóa ePHI khi truyền và khi lưu trữ (đã có ở Kintaria), MFA cho các hệ thống quan trọng và từ xa (chúng tôi đang cung cấp đăng nhập hai bước tùy chọn), và yêu cầu rõ ràng đối với các hệ thống AI chạm vào dữ liệu bệnh nhân (kiểm kê bằng văn bản, giám sát lỗ hổng liên tục). Thế trận hiện tại của chúng tôi phù hợp với phần lớn các biện pháp kiểm soát đề xuất; chúng tôi sẽ cập nhật mục này khi quy tắc cuối được ban hành.
8. Lưu giữ và xóa dữ liệu
Dữ liệu không gian được giữ chừng nào không gian còn tồn tại. Khi quý vị xóa một không gian: toàn bộ nội dung bị xóa cứng khỏi cơ sở dữ liệu trong vòng 7 ngày; các bản sao lưu cơ sở dữ liệu (chứa dữ liệu tại thời điểm sao lưu) hết hạn theo lịch riêng của chúng — thường 7 ngày để phục hồi theo thời điểm, rồi bị xóa; tệp trong kho tài liệu bị xóa khỏi lưu trữ ngay lập tức; các dòng nhật ký kiểm toán tham chiếu đến gia đình đã xóa được xóa theo dây chuyền; tài khoản của quý vị (nếu không còn không gian nào khác) sẽ bị xóa cứng theo yêu cầu — gửi email đến info@kintaria.com.
Tính năng "xuất dữ liệu của quý vị", cho phép tải xuống một tệp ZIP đầy đủ của không gian trước khi xóa, nằm trong lộ trình gần. Cho đến lúc đó, hãy yêu cầu qua info@kintaria.com và chúng tôi sẽ đóng gói và gửi thủ công.
9. Báo cáo vấn đề bảo mật
Nếu quý vị phát hiện vấn đề bảo mật với Kintaria — một cách thấy dữ liệu của gia đình khác, một endpoint đáng lẽ phải có xác thực mà không có, một bí mật bị rò trong sản phẩm công khai, hoặc bất cứ điều gì trông như một lỗ hổng — vui lòng gửi email đến security@thrive.me hoặc gọi (888) 704-0999. Chúng tôi sẽ xác nhận trong vòng một ngày làm việc.
10. Thực hành vận hành
- Yêu cầu xác thực hai yếu tố cho mọi tài khoản chạm vào hạ tầng sản xuất (Supabase, Vercel, GitHub, Cloudflare, nhà đăng ký tên miền).
- Các bí mật sản xuất (khóa API, mật khẩu DB) nằm trong biến môi trường của Vercel và bảng điều khiển Supabase. Không bao giờ commit vào kiểm soát phiên bản. Repo là riêng tư.
- Các migration cơ sở dữ liệu được kiểm soát phiên bản, được đội kỹ thuật duyệt trước khi áp dụng vào sản xuất, và được áp dụng qua công cụ migration của Supabase (không chỉnh sửa trực tiếp trên DB sản xuất).
- Lỗ hổng phụ thuộc được theo dõi qua GitHub Dependabot; các cảnh báo bảo mật được rà soát trong vòng một tuần.
11. Sắp tới
- Hoàn tất ký BAA với Supabase, Anthropic, Resend và Twilio.
- Công việc chuẩn bị SOC 2 Type 1 — lập tài liệu chính sách, thu thập bằng chứng, đi qua khung kiểm soát. Mục tiêu: trong vòng một năm kể từ khi ra mắt rộng rãi.
- Tải xuống tự phục vụ "xuất dữ liệu của quý vị" từ trang cài đặt không gian.
- Xóa không gian tự phục vụ (hôm nay quý vị cần email cho chúng tôi).
- Trình xem nhật ký kiểm toán trong không gian để người chăm sóc thấy lịch sử thay đổi.
12. Câu hỏi
Gửi email đến info@kintaria.com hoặc gọi (888) 704-0999. Chúng tôi trả lời mọi tin nhắn; chúng tôi không phải một startup được quỹ đầu tư rót vốn với một con bot canh cửa.