Chính Sách Bảo Mật Thông Tin
Công ty TNHH Vua Thợ Việt Nam (sau đây gọi là "Vua Thợ Mall", "chúng tôi") cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của Quý khách hàng, đối tác và thợ chuyên nghiệp. Chính sách này được xây dựng phù hợp với Luật An ninh mạng 2018, Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, Luật Giao dịch điện tử 2023, và các văn bản hướng dẫn thi hành liên quan.
Điều 1. Phạm vi áp dụng
1.1. Chính sách này áp dụng cho toàn bộ hoạt động thu thập, xử lý và lưu trữ dữ liệu cá nhân thông qua:
- Website thương mại điện tử tại địa chỉ vuathomall.com và các tên miền phụ
- Ứng dụng di động Vua Thợ Mall trên iOS và Android
- Hệ thống tổng đài, email, mạng xã hội và các kênh giao tiếp trực tiếp
- Giao dịch tại showroom, kho hàng và các điểm giao nhận
1.2. Chủ thể dữ liệu bao gồm: khách hàng cá nhân, tài khoản Thợ/Nhà thầu, đối tác doanh nghiệp, nhà cung cấp, người truy cập website.
1.3. Đối với người dưới 16 tuổi, việc thu thập dữ liệu phải có sự đồng ý bằng văn bản của cha, mẹ hoặc người giám hộ hợp pháp theo Điều 20, Nghị định 13/2023/NĐ-CP.
Điều 2. Dữ liệu cá nhân được thu thập
2.1. Dữ liệu cá nhân cơ bản:
- Họ và tên đầy đủ, ngày tháng năm sinh, giới tính, quốc tịch
- Số CMND/CCCD/Hộ chiếu, ngày cấp, nơi cấp
- Số điện thoại, địa chỉ email, địa chỉ thường trú và tạm trú
- Hình ảnh cá nhân (ảnh đại diện tài khoản)
2.2. Dữ liệu cá nhân nhạy cảm (chỉ thu thập khi cần thiết và được đồng ý rõ ràng):
- Thông tin tài chính: số tài khoản ngân hàng, hạn mức tín dụng (dùng cho công nợ)
- Dữ liệu vị trí: tọa độ GPS khi sử dụng tính năng tìm kiếm gần đây (yêu cầu cấp quyền)
2.3. Dữ liệu giao dịch và hành vi:
- Lịch sử đơn hàng, chi tiết sản phẩm đã mua, phương thức thanh toán
- Sản phẩm đã xem, tìm kiếm, thêm vào giỏ hàng, danh sách yêu thích
- Lịch sử tương tác CSKH: nội dung chat, cuộc gọi, email hỗ trợ
- Đánh giá, nhận xét sản phẩm đã đăng tải
2.4. Dữ liệu kỹ thuật (thu thập tự động):
- Địa chỉ IP, loại trình duyệt, hệ điều hành, độ phân giải màn hình
- Trang giới thiệu (referrer), thời gian truy cập, thời lượng phiên
- Mã định danh thiết bị (device ID), token thông báo đẩy (push notification)
2.5. Dữ liệu bổ sung cho tài khoản doanh nghiệp / Thợ Pro:
- Mã số thuế (MST), Giấy chứng nhận đăng ký kinh doanh
- Chứng chỉ hành nghề, bằng cấp chuyên môn liên quan
- Thông tin người đại diện pháp luật
- Hồ sơ tín dụng nội bộ (hạn mức công nợ, lịch sử thanh toán)
Điều 3. Mục đích xử lý dữ liệu
Dữ liệu cá nhân được xử lý cho các mục đích sau, với cơ sở pháp lý tương ứng:
| Mục đích | Cơ sở pháp lý |
|---|---|
| Tạo và quản lý tài khoản, xác thực danh tính | Thực hiện hợp đồng |
| Xử lý đơn hàng, thanh toán, giao nhận | Thực hiện hợp đồng |
| Xét duyệt tài khoản Thợ, cấp hạn mức công nợ | Lợi ích hợp pháp |
| Hỗ trợ khách hàng, xử lý khiếu nại, bảo hành | Thực hiện hợp đồng |
| Gửi thông báo đơn hàng, xác nhận giao dịch | Thực hiện hợp đồng |
| Gửi khuyến mãi, sản phẩm mới, chương trình Thợ | Đồng ý của chủ thể |
| Phân tích hành vi, cá nhân hóa trải nghiệm | Lợi ích hợp pháp |
| Phòng chống gian lận, bảo vệ an ninh hệ thống | Lợi ích hợp pháp |
| Tuân thủ nghĩa vụ pháp lý (thuế, kế toán, kiểm toán) | Nghĩa vụ pháp lý |
| Cung cấp theo yêu cầu cơ quan nhà nước có thẩm quyền | Nghĩa vụ pháp lý |
Điều 4. Biện pháp bảo mật
4.1. Biện pháp kỹ thuật:
- Mã hóa TLS 1.3 (256-bit): Toàn bộ dữ liệu truyền tải giữa trình duyệt và máy chủ
- Mã hóa dữ liệu nhạy cảm (AES-256): Mật khẩu (bcrypt hash), số tài khoản ngân hàng, CCCD
- Tuân thủ PCI-DSS Level 1: Không lưu trữ số thẻ tín dụng — ủy thác qua cổng thanh toán được cấp phép
- Hệ thống tường lửa WAF: Chặn tấn công SQL Injection, XSS, DDoS
- Kiểm thử bảo mật: Penetration testing tối thiểu 1 lần/năm bởi bên thứ ba độc lập
- Giám sát 24/7: Hệ thống phát hiện xâm nhập (IDS/IPS) và cảnh báo bất thường
4.2. Biện pháp tổ chức:
- Phân quyền truy cập theo nguyên tắc "cần biết" (need-to-know), ghi log đầy đủ
- Nhân viên tiếp cận dữ liệu phải ký cam kết bảo mật và được đào tạo định kỳ
- Chỉ định Nhân viên phụ trách bảo vệ dữ liệu cá nhân (DPO) theo Điều 28, NĐ 13/2023
- Quy trình ứng phó sự cố: phát hiện → cô lập → thông báo chủ thể (trong 72 giờ) → báo cáo Bộ Công an
4.3. Biện pháp vật lý:
- Máy chủ đặt tại data center đạt chuẩn Tier III tại Việt Nam
- Sao lưu dữ liệu mã hóa hàng ngày, lưu trữ tại vị trí địa lý tách biệt
- Kiểm soát ra vào phòng máy chủ bằng thẻ từ và sinh trắc học
Điều 5. Chia sẻ và chuyển giao dữ liệu
5.1. Chúng tôi CHỈ chia sẻ dữ liệu với bên thứ ba trong phạm vi tối thiểu cần thiết:
| Đối tác | Dữ liệu được chia sẻ | Mục đích |
|---|---|---|
| Đơn vị vận chuyển (GHTK, GHN, Viettel Post...) | Tên, SĐT, địa chỉ giao | Giao nhận hàng |
| Cổng thanh toán (VNPay, Momo, ZaloPay) | Mã giao dịch, số tiền | Xử lý thanh toán |
| Nhà cung cấp SMS/Email (Twilio, SendGrid) | SĐT hoặc email | Thông báo đơn hàng, OTP |
| Nhà sản xuất / Trung tâm bảo hành | Tên, SĐT, mã sản phẩm | Xử lý bảo hành |
| Đơn vị kiểm toán, cơ quan thuế | Hóa đơn, thông tin giao dịch | Nghĩa vụ pháp lý |
5.2. Tất cả đối tác bên thứ ba phải ký Thỏa thuận xử lý dữ liệu (DPA) cam kết tuân thủ tiêu chuẩn bảo mật tương đương.
5.3. Chúng tôi KHÔNG bán, cho thuê, trao đổi hoặc công khai dữ liệu cá nhân vì mục đích thương mại với bất kỳ bên nào.
5.4. Chuyển dữ liệu ra nước ngoài: Trong trường hợp sử dụng dịch vụ đám mây quốc tế (CDN, email), dữ liệu có thể được xử lý tại máy chủ ngoài Việt Nam. Khi đó, chúng tôi đảm bảo tuân thủ Điều 25, NĐ 13/2023 về chuyển dữ liệu xuyên biên giới, bao gồm đánh giá tác động và thông báo Bộ Công an.
Điều 6. Quyền của chủ thể dữ liệu
Theo Chương III, Nghị định 13/2023/NĐ-CP, Quý khách có các quyền sau:
| Quyền | Nội dung | Thời hạn xử lý |
|---|---|---|
| Quyền được biết | Biết việc xử lý dữ liệu, mục đích, phạm vi | Ngay lập tức |
| Quyền đồng ý | Đồng ý hoặc không đồng ý cho xử lý dữ liệu | Ngay lập tức |
| Quyền truy cập | Nhận bản sao dữ liệu đang được lưu trữ | 5 ngày làm việc |
| Quyền chỉnh sửa | Yêu cầu sửa thông tin không chính xác | 3 ngày làm việc |
| Quyền xóa | Yêu cầu xóa khi không còn mục đích xử lý | 5 ngày làm việc |
| Quyền hạn chế xử lý | Yêu cầu ngừng một phần hoặc toàn bộ xử lý | 3 ngày làm việc |
| Quyền phản đối | Phản đối xử lý dữ liệu cho marketing, profiling | Ngay lập tức |
| Quyền rút đồng ý | Rút lại sự đồng ý đã cho trước đó | Ngay lập tức |
| Quyền khiếu nại | Khiếu nại đến Bộ Công an (Cục An ninh mạng) | Theo quy định |
Để thực hiện quyền, gửi yêu cầu kèm bản sao CCCD đến: privacy@vuathomall.com. Tiêu đề email: "Yêu cầu quyền chủ thể dữ liệu — [Họ tên]".
Lưu ý: Một số quyền có thể bị giới hạn khi dữ liệu cần thiết cho nghĩa vụ pháp lý (thuế, kế toán) hoặc phòng chống gian lận.
Điều 7. Cookie và công nghệ theo dõi
7.1. Các loại cookie được sử dụng:
| Loại | Mục đích | Thời hạn | Tắt được? |
|---|---|---|---|
| Thiết yếu | Đăng nhập, giỏ hàng, bảo mật | Phiên / 30 ngày | Không |
| Chức năng | Ghi nhớ ngôn ngữ, khu vực | 12 tháng | Có |
| Phân tích | Google Analytics — thống kê truy cập | 26 tháng | Có |
| Quảng cáo | Facebook Pixel, Google Ads — remarketing | 90 ngày | Có |
7.2. Quý khách có thể quản lý cookie qua cài đặt trình duyệt hoặc banner cookie trên website. Tắt cookie thiết yếu có thể ảnh hưởng đến chức năng đăng nhập và giỏ hàng.
Điều 8. Thời gian lưu trữ dữ liệu
| Loại dữ liệu | Thời gian lưu | Căn cứ |
|---|---|---|
| Thông tin tài khoản | Đến khi xóa tài khoản + 30 ngày | Yêu cầu chủ thể |
| Hồ sơ giao dịch, hóa đơn | 10 năm | Luật Kế toán 2015 |
| Hồ sơ bảo hành | Hết hạn BH + 12 tháng | Nghĩa vụ hợp đồng |
| Log hệ thống, audit trail | 36 tháng | Luật An ninh mạng |
| Dữ liệu phân tích (analytics) | 26 tháng | Google Analytics policy |
| Hồ sơ khiếu nại, tranh chấp | 5 năm sau khi giải quyết | Thời hiệu khởi kiện |
Sau thời hạn lưu trữ, dữ liệu được xóa vĩnh viễn hoặc ẩn danh hóa không thể phục hồi.
Điều 9. Bảo vệ dữ liệu trẻ em
9.1. Vua Thợ Mall không chủ đích thu thập dữ liệu từ người dưới 16 tuổi.
9.2. Nếu phát hiện đã thu thập dữ liệu trẻ em mà không có sự đồng ý hợp lệ, chúng tôi sẽ xóa ngay lập tức và thông báo cho phụ huynh.
9.3. Phụ huynh phát hiện tài khoản do trẻ em tạo, vui lòng liên hệ privacy@vuathomall.com.
Điều 10. Xử lý sự cố rò rỉ dữ liệu
Trong trường hợp phát hiện vi phạm bảo mật dữ liệu cá nhân:
- Trong 24 giờ: Cô lập sự cố, đánh giá phạm vi ảnh hưởng
- Trong 72 giờ: Thông báo bằng văn bản cho chủ thể dữ liệu bị ảnh hưởng, bao gồm: loại dữ liệu, mức độ rủi ro, biện pháp khắc phục
- Đồng thời: Báo cáo Bộ Công an (Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao) theo Điều 23, NĐ 13/2023
- Sau sự cố: Rà soát nguyên nhân, cập nhật biện pháp bảo mật, công bố báo cáo minh bạch
Điều 11. Cập nhật chính sách
11.1. Chính sách này có thể được cập nhật định kỳ. Phiên bản mới nhất luôn được đăng tại vuathomall.com/privacy.
11.2. Thay đổi trọng yếu (mở rộng phạm vi thu thập, chia sẻ với bên thứ ba mới) sẽ được thông báo qua email và/hoặc banner trên website trước 15 ngày.
11.3. Tiếp tục sử dụng dịch vụ sau ngày hiệu lực của bản cập nhật đồng nghĩa với việc chấp nhận chính sách mới.
Điều 12. Liên hệ
Bộ phận Bảo mật Dữ liệu — Công ty TNHH Vua Thợ Việt Nam
Bằng việc tiếp tục sử dụng dịch vụ, Quý khách xác nhận đã đọc, hiểu và đồng ý với toàn bộ nội dung Chính sách Bảo mật này. Trường hợp không đồng ý, Quý khách có quyền ngừng sử dụng dịch vụ và yêu cầu xóa dữ liệu theo Điều 6.