CHÍNH SÁCH BẢO MẬT — SOGANET App v2
Cập nhật lần cuối: [NGÀY/THÁNG/NĂM] Áp dụng cho: website https://tool.soganet.com và toàn bộ dịch vụ liên quan
⚠️ Trước khi publish: thay [PHẦN TRONG NGOẶC VUÔNG] bằng thông tin thực tế của bạn. Tốt nhất nên có luật sư review file này trước khi đăng. Template này tuân theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân áp dụng từ 01/07/2023 tại Việt Nam.
1. Giới thiệu
Chính sách này mô tả cách SOGANET (sau đây gọi là "chúng tôi") thu thập, sử dụng, bảo mật và xử lý dữ liệu cá nhân của bạn khi sử dụng nền tảng SOGANET App v2 — công cụ tự động hoá SEO và quản lý nội dung WordPress.
Bằng việc đăng ký và sử dụng dịch vụ, bạn xác nhận đã đọc, hiểu và đồng ý với Chính sách này.
Đơn vị xử lý dữ liệu (Data Controller):
- Tên: [TÊN CÔNG TY HOẶC CÁ NHÂN]
- Địa chỉ: [ĐỊA CHỈ ĐĂNG KÝ KINH DOANH]
- Mã số thuế: [NẾU CÓ]
- Email: [email protected]
- Điện thoại: [SDT LIÊN HỆ]
2. Dữ liệu chúng tôi thu thập
2.1. Dữ liệu bạn cung cấp trực tiếp
| Loại dữ liệu | Mục đích | Bắt buộc? |
|---|---|---|
| Email, tên đầy đủ | Tạo tài khoản, gửi thông báo, hỗ trợ | ✅ |
| Mật khẩu (đã được hash bằng bcrypt) | Xác thực đăng nhập | ✅ |
| Số điện thoại | Khôi phục tài khoản, hỗ trợ khẩn cấp | ❌ tùy chọn |
| Thông tin website WordPress (URL, user, mật khẩu ứng dụng) | Tự động đăng bài | ✅ nếu dùng tính năng đăng |
| API key bên thứ ba (OpenAI, DataForSEO, OpenPageRank, v.v.) | Gọi dịch vụ tạo nội dung / phân tích SEO | ✅ nếu dùng |
| Nội dung bài viết, từ khoá, outline do bạn nhập | Lưu trữ và xử lý theo yêu cầu | ✅ |
2.2. Dữ liệu thu thập tự động
- Địa chỉ IP — phục vụ bảo mật (chống brute force, rate limit)
- User-Agent trình duyệt — gỡ lỗi tương thích
- Cookie phiên đăng nhập — duy trì trạng thái đăng nhập (HttpOnly, Secure, SameSite=strict)
- Cookie CSRF token — bảo vệ chống tấn công cross-site request forgery
- Log hành động — thời điểm đăng nhập, đăng xuất, tạo bài viết, để truy vết và hỗ trợ
- Audit log admin — ghi nhận mọi hành động của nhân viên hỗ trợ trên dữ liệu của bạn
2.3. Dữ liệu KHÔNG thu thập
Chúng tôi không thu thập:
- Thông tin tài chính (số tài khoản ngân hàng, số thẻ tín dụng) — thanh toán xử lý qua cổng thanh toán bên thứ ba
- Vị trí GPS chính xác
- Dữ liệu sinh trắc học
- Lịch sử duyệt web ngoài SOGANET
- Danh bạ điện thoại
3. Cơ sở pháp lý và mục đích sử dụng
| Mục đích | Cơ sở pháp lý (theo ND-13/2023) |
|---|---|
| Cung cấp dịch vụ đã đăng ký | Thực hiện hợp đồng (Điều 17.1.b) |
| Bảo mật, chống gian lận | Lợi ích hợp pháp (Điều 17.1.f) |
| Tuân thủ pháp luật, hoá đơn VAT | Nghĩa vụ pháp lý (Điều 17.1.c) |
| Email tiếp thị, khuyến mãi | Sự đồng ý có thể rút lại (Điều 17.1.a) |
4. Mã hoá và bảo mật dữ liệu
4.1. Dữ liệu được mã hoá at-rest
Mật khẩu WordPress, API key OpenAI, mật khẩu SMTP và các thông tin nhạy cảm khác được mã hoá bằng Fernet AES-128-CBC + HMAC-SHA256 trước khi lưu vào CSDL. Khoá mã hoá lưu riêng biệt (ENCRYPTION_KEY), không nằm trong CSDL.
4.2. Dữ liệu được mã hoá in-transit
Toàn bộ truy cập sử dụng HTTPS (TLS 1.2+) với HSTS bật. Cookie phiên có cờ Secure và HttpOnly.
4.3. Mật khẩu tài khoản
Mật khẩu của bạn được hash bằng bcrypt (chi phí tính toán cao, kháng brute force). Chúng tôi không bao giờ biết mật khẩu thật của bạn.
4.4. Kiểm soát truy cập
- Nhân viên hỗ trợ chỉ truy cập dữ liệu bạn KHI có vé yêu cầu cụ thể
- Mọi truy cập của admin vào dữ liệu khách hàng được ghi audit log (xem mục 6)
- Sao lưu CSDL tự động hàng ngày, lưu trữ tách biệt và mã hoá
5. Chia sẻ dữ liệu với bên thứ ba
Chúng tôi không bán dữ liệu của bạn. Dữ liệu chỉ chia sẻ với các bên sau, mỗi bên có hợp đồng bảo mật riêng:
| Bên thứ ba | Mục đích | Loại dữ liệu chia sẻ |
|---|---|---|
| OpenAI (USA) | Tạo nội dung AI | Từ khoá, prompt, outline (KHÔNG bao gồm thông tin cá nhân) |
| DataForSEO (USA) | Phân tích SEO, SERP | Domain, từ khoá tra cứu |
| Wayback Machine / OpenPageRank | Kiểm tra lịch sử domain | Tên domain |
| Google (Singapore/USA) | OAuth đăng nhập (nếu bạn dùng) | Email, tên hiển thị (theo OAuth scope) |
| Cổng thanh toán ([VNPay/MoMo/Stripe — TÊN]) | Xử lý giao dịch | Số tiền, mã đơn hàng |
| Cơ quan nhà nước | Khi có yêu cầu hợp pháp bằng văn bản | Theo yêu cầu cụ thể |
Chuyển dữ liệu ra nước ngoài: Một số bên thứ ba (OpenAI, DataForSEO) đặt máy chủ tại Hoa Kỳ. Theo ND-13/2023 Điều 25, chúng tôi đã thực hiện đánh giá tác động bảo vệ dữ liệu cá nhân cho việc chuyển này. Khi cần, bạn có thể yêu cầu xem bản đánh giá.
6. Quyền của bạn (theo ND-13/2023)
| Quyền | Cách thực hiện | Thời gian xử lý |
|---|---|---|
| Được biết — thông tin về xử lý dữ liệu | Đọc Chính sách này | Tức thì |
| Đồng ý / rút đồng ý | Tài khoản → Cài đặt → Quyền riêng tư | Tức thì |
| Truy cập — xem dữ liệu của mình | Tài khoản → Tải xuống dữ liệu (JSON/CSV) | Trong 72 giờ |
| Chỉnh sửa — cập nhật thông tin sai | Tài khoản → Thông tin cá nhân | Tức thì |
| Xoá — yêu cầu xoá tài khoản | Email yêu cầu tới [email protected] | Trong 72 giờ (trừ trường hợp luật buộc giữ) |
| Hạn chế xử lý | Email yêu cầu | 72 giờ |
| Phản đối xử lý cho tiếp thị | Bấm "Unsubscribe" trong email hoặc Tài khoản → Thông báo | Tức thì |
| Khiếu nại | Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05) — Bộ Công an | — |
Lưu ý về xoá tài khoản: Khi xoá, chúng tôi giữ một số dữ liệu bắt buộc theo luật (hoá đơn VAT 10 năm, log audit 2 năm cho mục đích an ninh) nhưng tách biệt khỏi danh tính của bạn.
7. Cookie và công nghệ tương tự
7.1. Cookie bắt buộc (không thể tắt)
soganet_appv2_session— xác thực phiên đăng nhậpsoganet_csrf_token— bảo vệ chống CSRF
7.2. Cookie chức năng (tuỳ chọn)
soga-theme— lưu lựa chọn theme (sáng/tối)soga-login-video— nhớ video background trang login
7.3. Cookie phân tích
Hiện tại chúng tôi không sử dụng Google Analytics hay tracking ads. Nếu thay đổi trong tương lai, sẽ cập nhật Chính sách này và xin sự đồng ý của bạn.
8. Lưu giữ dữ liệu
| Loại dữ liệu | Thời gian lưu | Lý do |
|---|---|---|
| Tài khoản đang hoạt động | Đến khi xoá | Cung cấp dịch vụ |
| Tài khoản đã đóng | 30 ngày sau yêu cầu | Cho phép phục hồi |
| Hoá đơn VAT | 10 năm | Luật kế toán VN |
| Log đăng nhập | 90 ngày | Phát hiện tấn công |
| Audit log admin | 2 năm | An ninh thông tin |
| Bài viết / nội dung | Đến khi bạn xoá | Cung cấp dịch vụ |
| Backup CSDL | 30 ngày luân phiên | Khôi phục thảm hoạ |
9. Bảo vệ trẻ em
Dịch vụ không dành cho trẻ em dưới 16 tuổi. Nếu bạn dưới 16 tuổi, vui lòng không sử dụng. Nếu chúng tôi phát hiện đã thu thập dữ liệu của trẻ em dưới 16 tuổi mà không có sự đồng ý của cha mẹ/người giám hộ, chúng tôi sẽ xoá ngay.
10. Vi phạm dữ liệu
Trong trường hợp xảy ra sự cố rò rỉ dữ liệu cá nhân:
- Trong 72 giờ: thông báo cho Cục A05 theo Điều 23 ND-13/2023
- Trong 24 giờ: gửi email thông báo cho người dùng bị ảnh hưởng kèm:
- Mô tả sự cố
- Loại dữ liệu bị rò rỉ
- Số người dùng bị ảnh hưởng
- Biện pháp khắc phục đã thực hiện
- Khuyến nghị hành động cho người dùng
11. Thay đổi Chính sách
Chúng tôi có thể cập nhật Chính sách này. Mọi thay đổi có hiệu lực 30 ngày sau khi đăng. Thay đổi quan trọng (mở rộng phạm vi thu thập, đổi mục đích sử dụng) sẽ được thông báo qua email.
12. Liên hệ
Mọi thắc mắc, yêu cầu thực hiện quyền, hoặc khiếu nại liên quan đến dữ liệu cá nhân:
- Email: [email protected]
- Hotline: [SDT]
- Địa chỉ: [ĐỊA CHỈ]
- Người phụ trách bảo vệ dữ liệu (DPO): [TÊN]
Bằng việc sử dụng SOGANET App v2, bạn xác nhận đã đọc, hiểu và đồng ý với Chính sách Bảo mật này.