Chính Sách Bảo Mật

1. Đơn Vị Thu Thập và Quản Lý Dữ Liệu

• Tên công ty: Công ty TNHH Lohasale
• Mã số doanh nghiệp: [Sẽ cập nhật khi đăng ký]
• Địa chỉ: Hà Đông, Hà Nội, Việt Nam
• Người đại diện pháp luật: [Sẽ cập nhật]
• Email bảo mật: privacy@lohasale.com
• Hotline: 0399 692 275

2. Phạm Vi Thu Thập Dữ Liệu

2.1 Thông tin Khách hàng cung cấp trực tiếp

• Họ tên, email, số điện thoại, tên công ty khi đăng ký tài khoản
• Thông tin thanh toán (chúng tôi không lưu trữ số thẻ tín dụng — xử lý qua cổng thanh toán bên thứ ba có chứng chỉ PCI DSS)
• Tài liệu sản phẩm, FAQ, bảng giá mà Khách hàng tải lên Knowledge Base
• Cấu hình chatbot: tên bot, giọng điệu, system prompt, tin nhắn chào

2.2 Thông tin thu thập tự động

• Nội dung hội thoại giữa chatbot và người dùng cuối (lưu trên hệ thống của Khách hàng)
• Thông tin kết nối kênh: Token/API key của Zalo OA, Facebook Page, Telegram Bot (được mã hoá AES-256-GCM)
• Dữ liệu sử dụng: số tin nhắn, token AI đã dùng, thời gian phản hồi
• Thông tin kỹ thuật: địa chỉ IP, loại trình duyệt, hệ điều hành, trang truy cập

2.3 Thông tin từ nền tảng bên thứ ba

Khi Khách hàng kết nối các kênh (Zalo, Facebook, Telegram), chúng tôi nhận thông tin từ các nền tảng này theo phạm vi quyền mà Khách hàng đã cấp (ví dụ: ID người dùng, tin nhắn gửi đến Page/OA). Chúng tôi chỉ xử lý thông tin trong phạm vi cần thiết để cung cấp Dịch vụ.

3. Mục Đích Thu Thập

• Cung cấp Dịch vụ: Vận hành chatbot AI, xử lý và trả lời tin nhắn khách hàng
• Quản lý tài khoản: Xác thực danh tính, quản lý quyền truy cập, bảo mật tài khoản
• Thanh toán: Xử lý giao dịch, xuất hoá đơn, quản lý gói dịch vụ
• Hỗ trợ kỹ thuật: Giải quyết sự cố, trả lời yêu cầu hỗ trợ
• Cải thiện chất lượng: Phân tích thống kê sử dụng (đã ẩn danh) để nâng cao Dịch vụ
• Liên lạc: Gửi thông báo về dịch vụ, cập nhật tính năng, thông tin bảo mật. Không gửi quảng cáo khi chưa có sự đồng ý
• Tuân thủ pháp luật: Thực hiện nghĩa vụ pháp lý về kế toán, thuế, báo cáo khi có yêu cầu từ cơ quan có thẩm quyền

4. Cơ Sở Pháp Lý Xử Lý Dữ Liệu

Theo Nghị định 13/2023/NĐ-CP, chúng tôi xử lý dữ liệu cá nhân dựa trên:

• Sự đồng ý: Khi Bạn đăng ký tài khoản và chấp nhận Điều khoản Dịch vụ
• Thực hiện hợp đồng: Để cung cấp Dịch vụ theo gói đã đăng ký
• Nghĩa vụ pháp lý: Tuân thủ yêu cầu của cơ quan nhà nước có thẩm quyền
• Lợi ích hợp pháp: Bảo vệ an ninh hệ thống, ngăn chặn gian lận và lạm dụng

5. Thời Gian Lưu Trữ

• Trong thời gian sử dụng: Dữ liệu được lưu trữ suốt thời gian Tài khoản còn hoạt động
• Sau khi chấm dứt: Dữ liệu được giữ 30 ngày để Khách hàng tải xuống, sau đó xoá vĩnh viễn
• Dữ liệu thanh toán: Lưu giữ 5 năm theo quy định pháp luật về kế toán, thuế
• Dữ liệu log hệ thống: Tự động xoá sau 90 ngày

6. Bảo Mật Dữ Liệu

Chúng tôi áp dụng các biện pháp bảo mật kỹ thuật và tổ chức, bao gồm:

• Mã hoá: AES-256-GCM cho thông tin nhạy cảm (credentials kênh), TLS 1.3 cho dữ liệu truyền tải
• Xác thực: JWT token với thời hạn giới hạn, mật khẩu băm bcrypt
• Cách ly dữ liệu: Kiến trúc multi-tenant đảm bảo dữ liệu mỗi doanh nghiệp được cách ly hoàn toàn
• Kiểm soát truy cập: Phân quyền theo vai trò (Super Admin / Tenant Admin), chỉ nhân viên được uỷ quyền mới truy cập dữ liệu
• Sao lưu: Dữ liệu được sao lưu định kỳ hàng ngày, lưu trữ mã hoá
• Giám sát: Theo dõi truy cập bất thường, cảnh báo tự động khi phát hiện hành vi đáng ngờ

7. Cam Kết Không Mua Bán Dữ Liệu

8. Chia Sẻ Thông Tin Với Bên Thứ Ba

Chúng tôi chỉ chia sẻ thông tin trong các trường hợp sau:

• Nhà cung cấp dịch vụ: Google AI (xử lý ngôn ngữ), nhà cung cấp hosting (lưu trữ dữ liệu), cổng thanh toán — tất cả đều có hợp đồng xử lý dữ liệu (DPA) và tuân thủ tiêu chuẩn bảo mật
• Nền tảng tích hợp: Facebook, Zalo, Telegram — chỉ trong phạm vi cần thiết để gửi/nhận tin nhắn theo yêu cầu của Khách hàng
• Yêu cầu pháp lý: Khi có quyết định, lệnh từ cơ quan nhà nước có thẩm quyền theo đúng quy định pháp luật
• Bảo vệ quyền lợi: Khi cần thiết để bảo vệ quyền, tài sản hoặc an toàn của Lohasale, Khách hàng hoặc công chúng

Chúng tôi KHÔNG chia sẻ thông tin cho mục đích quảng cáo, marketing của bên thứ ba.

9. Chuyển Giao Dữ Liệu Xuyên Biên Giới

Theo Nghị định 13/2023/NĐ-CP và Luật An ninh mạng 2018:

• Dữ liệu cá nhân của người dùng Việt Nam được lưu trữ tại máy chủ đặt tại Việt Nam hoặc khu vực có cam kết bảo vệ dữ liệu tương đương
• Khi sử dụng dịch vụ AI từ Google (đặt ngoài Việt Nam), chỉ nội dung hội thoại ẩn danh được gửi để xử lý ngôn ngữ — không gửi thông tin định danh cá nhân
• Việc chuyển giao dữ liệu xuyên biên giới (nếu có) sẽ tuân thủ quy trình đánh giá tác động và có sự đồng ý của chủ thể dữ liệu

10. Quyền Của Chủ Thể Dữ Liệu

Theo Nghị định 13/2023/NĐ-CP, Bạn có quyền:

• Quyền truy cập: Xem dữ liệu cá nhân mà chúng tôi lưu trữ về Bạn
• Quyền chỉnh sửa: Yêu cầu sửa đổi thông tin không chính xác hoặc không đầy đủ
• Quyền xoá: Yêu cầu xoá dữ liệu cá nhân (trừ trường hợp pháp luật yêu cầu lưu giữ)
• Quyền hạn chế xử lý: Yêu cầu hạn chế việc xử lý dữ liệu trong một số trường hợp
• Quyền phản đối: Phản đối việc xử lý dữ liệu cho mục đích marketing trực tiếp
• Quyền di chuyển: Yêu cầu nhận bản sao dữ liệu ở định dạng có cấu trúc (JSON, CSV)
• Quyền rút lại đồng ý: Rút lại sự đồng ý xử lý dữ liệu bất cứ lúc nào
• Quyền khiếu nại: Khiếu nại đến cơ quan bảo vệ dữ liệu cá nhân có thẩm quyền

Để thực hiện các quyền trên, vui lòng liên hệ: privacy@lohasale.com. Chúng tôi sẽ phản hồi trong vòng 15 ngày làm việc.

11. Cách Xoá Dữ Liệu

• Đăng nhập Dashboard → Cài đặt → Xoá tài khoản
• Hoặc gửi email đến privacy@lohasale.com với tiêu đề “Yêu cầu xoá dữ liệu”
• Chúng tôi xác nhận yêu cầu trong 24 giờ và hoàn tất xoá trong 30 ngày
• Sau khi xoá, dữ liệu không thể khôi phục

12. Cookie và Công Nghệ Theo Dõi

• Cookie thiết yếu: Cần thiết để website và Dịch vụ hoạt động (đăng nhập, bảo mật phiên)
• Cookie phân tích: Giúp hiểu cách Bạn sử dụng Dịch vụ để cải thiện trải nghiệm (Google Analytics — đã bật ẩn danh IP)
• Bạn có thể tắt cookie không thiết yếu qua cài đặt trình duyệt. Việc tắt cookie thiết yếu có thể ảnh hưởng đến chức năng Dịch vụ

13. Bảo Vệ Trẻ Em

Dịch vụ Lohasale không hướng đến người dưới 18 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân của trẻ em. Nếu phát hiện đã thu thập dữ liệu từ người dưới 18 tuổi mà không có sự đồng ý của cha mẹ/người giám hộ, chúng tôi sẽ xoá ngay lập tức.

14. Sáp Nhập và Chuyển Nhượng

Trong trường hợp Lohasale tham gia sáp nhập, mua lại hoặc bán tài sản, dữ liệu cá nhân có thể được chuyển giao cho bên tiếp nhận. Chúng tôi sẽ thông báo trước cho Khách hàng ít nhất 30 ngày và Khách hàng có quyền xoá dữ liệu trước khi chuyển giao.

15. Thay Đổi Chính Sách

Chúng tôi có thể cập nhật Chính sách Bảo mật này theo thời gian. Mọi thay đổi quan trọng sẽ được thông báo qua email đăng ký trước ít nhất 30 ngày. Phiên bản mới nhất luôn được đăng tải trên website. Việc tiếp tục sử dụng Dịch vụ sau khi thay đổi có hiệu lực đồng nghĩa với việc Bạn chấp nhận chính sách mới.

16. Liên Hệ Về Bảo Mật

Nếu có câu hỏi, yêu cầu hoặc khiếu nại về bảo mật dữ liệu:

• Công ty: Công ty TNHH Lohasale
• Email bảo mật: privacy@lohasale.com
• Email chung: hello@lohasale.com
• Hotline: 0399 692 275
• Địa chỉ: Hà Đông, Hà Nội, Việt Nam
• Thời gian phản hồi: Trong vòng 15 ngày làm việc