# PUBLIC REDACTION POLICY — Chính sách lọc dữ liệu public ## Techgon Agent · áp dụng cho mọi nội dung đưa lên agent.techgon.com ## 1. KHÔNG BAO GIỜ public (hard bans) - Credentials mọi loại: password, API key, token, private key, secret, recovery code, cookie, session — kể cả "đã hết hạn". - FTP/DB metadata thật: host, port, username, server path. - `project-registry` private: PROJECT_PROFILE/ENVIRONMENT_MAP/ACCESS_MAP/TEST_ACCOUNTS/NOTES thật của từng dự án. - PROJECT_ROOT và mọi đường dẫn ổ đĩa cá nhân (`E:\...`, `C:\Users\...`) — thay bằng placeholder ``. - Raw logs, raw screenshots, evidence thô (có thể chứa dữ liệu nhạy cảm trong khung hình/log). - Dữ liệu người dùng, email cá nhân, số định danh. - Thông tin lỗ hổng bảo mật CHƯA vá của bất kỳ dự án nào. ## 2. ĐƯỢC public (sau khi lọc) - Luật, quy trình, protocol, checklist (governance docs) — bản đã thay đường dẫn local bằng placeholder. - Version history, changelog mô hình (không kèm giá trị secret, không đường dẫn thật). - Worklog đã redact: ngày, loại việc, tóm tắt, trạng thái — không log thô. - Hồ sơ dự án mức public: tên, vai trò trong hệ sinh thái, trạng thái chung — KHÔNG root path, KHÔNG access map (xem `projects/*.public.json`). - Template trống (project lock, context packs) — chỉ placeholder. ## 3. Quy trình build public (bắt buộc mỗi lần) 1. Build từ nguồn local private → thư mục build public riêng (không sync tự động toàn bộ). 2. Redaction pass: thay `<đường dẫn local>` → placeholder; rà credentials/host/path. 3. Scan trước upload: tìm pattern secret (`password=`, `token`, key dài bất thường), đường dẫn ổ đĩa, tên user FTP/DB. Phát hiện → loại file, ghi ERR. 4. JSON validate toàn bộ `data/`, `projects/`, `templates/`. 5. Checklist ký xác nhận trong DEPLOY PLAN trước khi upload. ## 4. Quy tắc kênh secret (nhắc lại từ B15) - Secret đi qua: env file / secret manager / OS credential manager / PO thao tác thủ công. **Không qua chat/report/source/public file.** - Secret từng đi qua kênh không chuẩn (vd: chat) → coi như đã lộ → **rotate ngay sau lần dùng đầu tiên**. - Sau deploy chỉ báo cáo: *"credential used via PO-provided secure channel"* — không ghi nội dung. ## 5. Khi phát hiện đã public nhầm Theo Recovery + Incident: gỡ ngay khỏi hosting → coi secret liên quan là đã lộ → rotate → ghi ERR (Open→Applied) → bổ sung pattern vào scan bước 3.