Chính sách bảo mật
Điều 1Bên Kiểm soát & Xử lý dữ liệu cá nhân
Dịch vụ HoTroDauTu được vận hành bởi:
- Tên hộ kinh doanh: [[Tên hộ kinh doanh]]
- Địa chỉ: [[Địa chỉ]]
- Email phụ trách bảo vệ dữ liệu cá nhân: [[Email liên hệ]]
Chúng tôi là Bên Kiểm soát và Xử lý dữ liệu cá nhân của người dùng theo quy định tại Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.
Điều 2Mục đích xử lý dữ liệu cá nhân
Chúng tôi thu thập và xử lý dữ liệu cá nhân của người dùng cho các mục đích sau:
- Vận hành tài khoản: tạo, xác thực và quản lý tài khoản người dùng.
- Xác thực đăng nhập: gửi magic-link qua email hoặc xác thực qua tài khoản Google.
- Xử lý thanh toán & kích hoạt gói: xác nhận thanh toán, kích hoạt quyền truy cập gói dịch vụ tương ứng.
- Hỗ trợ người dùng: phản hồi yêu cầu hỗ trợ kỹ thuật và khiếu nại.
- Thông báo dịch vụ: gửi thông báo về thay đổi điều khoản, chính sách, hoặc gián đoạn dịch vụ.
- Tuân thủ pháp lý: lưu trữ hồ sơ giao dịch theo nghĩa vụ kế toán và thuế theo pháp luật Việt Nam.
Điều 3Loại dữ liệu cá nhân thu thập
- Thông tin tài khoản: địa chỉ email, tên hiển thị (nếu cung cấp), ảnh đại diện (từ Google OAuth nếu đăng nhập bằng Google).
- Dữ liệu thanh toán: trạng thái giao dịch, lịch sử kích hoạt gói, thời hạn hiệu lực. HoTroDauTu không lưu trữ số thẻ ngân hàng, thẻ tín dụng — dữ liệu thẻ được cổng thanh toán giữ và xử lý trực tiếp.
- Nhật ký truy cập kỹ thuật: địa chỉ IP, thời gian truy cập, trình duyệt/thiết bị sử dụng — chỉ dùng cho mục đích bảo mật và khắc phục sự cố kỹ thuật.
Chúng tôi không thu thập dữ liệu nhạy cảm (sức khỏe, tôn giáo, quan điểm chính trị, nguồn gốc dân tộc) theo định nghĩa tại Điều 9 Nghị định 13/2023/NĐ-CP.
Điều 4Cách thức xử lý & bảo mật
Dữ liệu cá nhân được lưu trữ trên hạ tầng đám mây với các biện pháp bảo mật sau:
- Mã hóa dữ liệu khi lưu trữ (at rest) và khi truyền tải (in transit — HTTPS/TLS).
- Kiểm soát truy cập theo nguyên tắc tối thiểu đặc quyền (Row Level Security — RLS).
- Xác thực đa yếu tố cho các tài khoản quản trị hệ thống.
- Sao lưu dữ liệu định kỳ với kiểm soát truy cập vào bản sao lưu.
Điều 5Bên thứ ba nhận dữ liệu cá nhân
Để vận hành dịch vụ, HoTroDauTu sử dụng các nhà cung cấp dịch vụ sau, có thể nhận và xử lý dữ liệu cá nhân của người dùng:
| Nhà cung cấp | Vai trò | Dữ liệu liên quan |
|---|---|---|
| Supabase | Hạ tầng cơ sở dữ liệu, xác thực | Email, trạng thái tài khoản, giao dịch |
| Resend / nhà cung cấp email | Gửi magic-link đăng nhập, thông báo | Địa chỉ email |
| Google (OAuth) | Đăng nhập bằng Google | Email, tên, ảnh đại diện (nếu dùng Google login) |
| SePay / VNPay / MoMo (cổng thanh toán) | Xử lý thanh toán | Thông tin giao dịch (cổng tự quản lý, không qua HoTroDauTu) |
Điều 6Rủi ro có thể xảy ra khi xử lý dữ liệu
Rủi ro và biện pháp giảm thiểu
Rủi ro rò rỉ dữ liệu: Mặc dù đã áp dụng các biện pháp kỹ thuật và tổ chức phù hợp, không hệ thống nào đảm bảo bảo mật tuyệt đối 100%. Trong trường hợp xảy ra sự cố rò rỉ dữ liệu ảnh hưởng đến quyền lợi của người dùng, HoTroDauTu sẽ thông báo cho người dùng bị ảnh hưởng và cơ quan có thẩm quyền trong thời hạn theo quy định.
Biện pháp giảm thiểu: mã hóa dữ liệu, kiểm soát truy cập nghiêm ngặt, giám sát hệ thống liên tục, và sao lưu định kỳ. HoTroDauTu thu thập tối thiểu dữ liệu cần thiết, không lưu dữ liệu tài chính nhạy cảm (số thẻ) trên hệ thống riêng.
Điều 7Thời gian xử lý & lưu trữ
- Dữ liệu tài khoản: lưu trữ cho đến khi người dùng yêu cầu xóa tài khoản.
- Dữ liệu giao dịch thanh toán: lưu trữ theo thời hạn tối thiểu do pháp luật kế toán và thuế yêu cầu (thông thường 5–10 năm tùy loại hồ sơ).
- Nhật ký kỹ thuật: lưu giữ trong thời gian ngắn (tối đa 90 ngày) phục vụ mục đích bảo mật và khắc phục sự cố.
Điều 8Quyền của chủ thể dữ liệu
Theo Điều 9 Nghị định 13/2023/NĐ-CP và Luật 91/2025/QH15, người dùng có các quyền sau đối với dữ liệu cá nhân của mình:
Quyền được biết
Được biết về hoạt động xử lý dữ liệu cá nhân của mình, mục đích và cách thức xử lý.
Quyền đồng ý
Đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân. Có thể rút lại đồng ý bất cứ lúc nào.
Quyền truy cập
Truy cập và xem dữ liệu cá nhân của mình đang được lưu trữ và xử lý.
Quyền chỉnh sửa
Yêu cầu chỉnh sửa dữ liệu cá nhân không chính xác hoặc không đầy đủ.
Quyền xóa
Yêu cầu xóa dữ liệu cá nhân trong các trường hợp theo quy định pháp luật.
Quyền hạn chế / phản đối
Yêu cầu hạn chế hoặc phản đối việc xử lý dữ liệu cá nhân trong một số trường hợp.
Quyền yêu cầu cung cấp
Yêu cầu cung cấp bản sao dữ liệu cá nhân theo định dạng phổ biến.
Quyền khiếu nại
Khiếu nại, tố cáo hoặc khởi kiện khi có hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân.
Để thực hiện bất kỳ quyền nào nêu trên, người dùng vui lòng gửi yêu cầu bằng văn bản qua email: [[Email liên hệ]]. Chúng tôi sẽ phản hồi trong vòng 30 ngày kể từ khi nhận được yêu cầu hợp lệ.
Điều 9Sự đồng ý của người dùng
HoTroDauTu thu thập sự đồng ý của người dùng thông qua checkbox tách bạch tại thời điểm đăng ký tài khoản, mô tả rõ mục đích xử lý dữ liệu.
Người dùng có thể rút lại sự đồng ý bất cứ lúc nào bằng cách gửi yêu cầu qua email [[Email liên hệ]]. Việc rút lại đồng ý không ảnh hưởng đến tính hợp pháp của hoạt động xử lý đã thực hiện trước đó.
Điều 10Cookie & công nghệ theo dõi
HoTroDauTu sử dụng cookie kỹ thuật cần thiết để duy trì phiên đăng nhập và trạng thái xác thực. Cookie này không được dùng để theo dõi hành vi hoặc quảng cáo.
Hiện tại chúng tôi không sử dụng cookie phân tích hay marketing của bên thứ ba.
Điều 11Liên hệ phụ trách bảo vệ dữ liệu cá nhân
Mọi thắc mắc, yêu cầu thực hiện quyền chủ thể dữ liệu, hoặc khiếu nại liên quan đến bảo vệ dữ liệu cá nhân, vui lòng liên hệ:
- Email: [[Email liên hệ]]
- Địa chỉ: [[Địa chỉ]]
- Thời gian phản hồi: trong vòng 30 ngày làm việc kể từ khi nhận yêu cầu hợp lệ.
Chính sách bảo mật này có thể được cập nhật để phản ánh các thay đổi về dịch vụ hoặc pháp luật. Phiên bản mới nhất luôn được công bố tại trang này kèm ngày cập nhật.