LV LarVPS
Vào App quản lý

LarVPS Legal

Security Policy

LarVPS áp dụng các biện pháp kỹ thuật và quy trình vận hành để bảo vệ tài khoản, license key, payment webhook, notification và dữ liệu VPS.

Cập nhật lần cuối: 04/06/2026

Biện pháp bảo mật

  • Session cookie dùng HttpOnly, SameSite và Secure trên HTTPS.
  • Session token chỉ lưu hash trong database.
  • Telegram WebApp initData được kiểm tra HMAC và thời gian.
  • Email login code có TTL, giới hạn số lần nhập sai và rate limit.
  • Payment webhook yêu cầu secret hoặc chữ ký hợp lệ.
  • License API ghi nhận fingerprint hash, IP và machine ID để giảm lạm dụng key.
  • Notification và system event được ghi log để điều tra sự cố.

Trách nhiệm của user

  • Bảo vệ email, Google account, Telegram account, VPS root password và SSH key.
  • Không public license key hoặc token trong repo, log, ảnh chụp màn hình.
  • Backup dữ liệu trước khi chạy lệnh cài đặt, update hoặc restore.
  • Cập nhật hệ điều hành và package VPS theo khuyến nghị bảo mật.

Báo cáo lỗ hổng

Nếu phát hiện lỗ hổng, gửi báo cáo riêng qua Telegram support. Vui lòng mô tả phạm vi, bước tái hiện, ảnh/log liên quan và không công khai chi tiết trước khi LarVPS xử lý.

Không được làm

  • Truy cập, sửa, xóa hoặc xuất dữ liệu không thuộc tài khoản của bạn.
  • Brute force, DDoS, spam request, scan API hoặc khai thác ngoài phạm vi được phép.
  • Gửi payload phá hoại, malware hoặc cố tình làm gián đoạn dịch vụ.

Xử lý sự cố

Khi có sự cố bảo mật, LarVPS có thể khóa key, reset session, tạm dừng notification, yêu cầu xác minh tài khoản hoặc liên hệ user bị ảnh hưởng.

Giới hạn

Không hệ thống nào an toàn tuyệt đối. LarVPS áp dụng biện pháp hợp lý trong phạm vi sản phẩm, nhưng user vẫn cần tự bảo vệ VPS, source code, database và backup của mình.