Chính sách bảo mật

Cập nhật lần cuối: 29/04/2026 · Tuân thủ Nghị định 13/2023/NĐ-CP

Tóm tắt: Adsngam thu thập email, số điện thoại, tên, lịch sử mua hàng và thông tin thanh toán để cung cấp dịch vụ. Chúng tôi KHÔNG bán dữ liệu cho bên thứ ba. Bạn có quyền yêu cầu xem, sửa, hoặc xóa dữ liệu của mình bất cứ lúc nào.

1. Phạm vi và đối tượng

Chính sách này áp dụng cho mọi khách hàng, người truy cập website adsngam.com và các nền tảng liên kết. Tài liệu được xây dựng theo Nghị định 13/2023/NĐ-CP ngày 17/04/2023 của Chính phủ Việt Nam về bảo vệ dữ liệu cá nhân.

2. Dữ liệu chúng tôi thu thập

2.1. Khi đăng ký tài khoản:

  • Email (bắt buộc) — dùng làm định danh + gửi thông báo
  • Tên hiển thị, ảnh đại diện
  • Mật khẩu (lưu dưới dạng hash bcrypt, KHÔNG plain text)
  • Số điện thoại / Zalo (tùy chọn) — dùng cho tư vấn và bảo hành

2.2. Khi mua hàng / thanh toán:

  • Họ tên, email, số điện thoại
  • Lịch sử đơn hàng (sản phẩm, giá, ngày mua)
  • Mã giao dịch / nội dung chuyển khoản — đối soát thanh toán

2.3. Khi sử dụng tự động (cookies / analytics):

  • Địa chỉ IP, loại trình duyệt, thiết bị
  • Trang đã xem, thời gian xem, bài học đã hoàn thành
  • Cookie session (next-auth) để giữ trạng thái đăng nhập

2.4. KHÔNG thu thập: số thẻ ngân hàng đầy đủ, mã CVV, password ngân hàng. Toàn bộ thanh toán xử lý qua bên thứ ba (Pay2s, ngân hàng).

3. Mục đích sử dụng

  • Cung cấp dịch vụ: tạo tài khoản, xử lý đơn hàng, kích hoạt khóa học, gửi tài nguyên đã mua.
  • Liên lạc: gửi email xác nhận đơn hàng, thông báo cập nhật, hỗ trợ kỹ thuật.
  • Cải thiện sản phẩm: phân tích hành vi sử dụng (qua Google Analytics) để tối ưu trải nghiệm.
  • Marketing: gửi newsletter (chỉ khi bạn chủ động đăng ký + có thể unsubscribe bất cứ lúc nào qua link cuối email).
  • Tuân thủ pháp luật: cung cấp dữ liệu khi cơ quan có thẩm quyền yêu cầu hợp pháp.

4. Cơ sở pháp lý

Chúng tôi xử lý dữ liệu cá nhân của bạn dựa trên các cơ sở:

  • Sự đồng ý của bạn khi đăng ký tài khoản, mua hàng, hoặc subscribe newsletter
  • Hợp đồng — cần xử lý dữ liệu để giao sản phẩm bạn đã mua
  • Lợi ích hợp pháp — phòng chống gian lận, bảo mật hệ thống
  • Nghĩa vụ pháp lý — theo yêu cầu cơ quan thuế, công an khi có lệnh hợp pháp

5. Chia sẻ dữ liệu với bên thứ ba

Chúng tôi KHÔNG bán dữ liệu cá nhân. Một số nhà cung cấp dịch vụ kỹ thuật xử lý dữ liệu giúp chúng tôi vận hành:

  • Vercel Inc. (USA) — hosting website + serverless functions. Lưu trữ logs request.
  • Hostinger (EU) — máy chủ MySQL chứa dữ liệu user, đơn hàng, khóa học.
  • Resend (USA) — gửi email giao dịch (xác nhận đơn, verify email, password reset).
  • Pay2s (VN) — cổng thanh toán xử lý giao dịch điện tử (chỉ khi bạn chọn phương thức Pay2s).
  • Google LLC — Google Analytics 4 (anonymized IP) + Google OAuth (chỉ khi bạn chọn login bằng Google).
  • Cloudflare / DiceBear — CDN tĩnh + avatar mặc định.

Tất cả nhà cung cấp đều có cam kết bảo mật và tuân thủ tiêu chuẩn quốc tế (GDPR / SOC 2 hoặc tương đương).

6. Quyền của chủ thể dữ liệu

Theo Điều 9–14 Nghị định 13/2023, bạn có các quyền sau:

  • Quyền được biết: biết dữ liệu nào của bạn đang được xử lý, mục đích gì.
  • Quyền đồng ý / rút đồng ý: bạn có thể rút lại sự đồng ý bất cứ lúc nào.
  • Quyền truy cập: yêu cầu bản sao dữ liệu cá nhân.
  • Quyền chỉnh sửa: cập nhật thông tin sai/thiếu (tự sửa qua trang Hồ sơ hoặc email yêu cầu).
  • Quyền xóa: yêu cầu xóa tài khoản và dữ liệu liên quan (trừ dữ liệu phải lưu theo luật như hóa đơn ≥10 năm).
  • Quyền hạn chế xử lý: tạm dừng xử lý dữ liệu trong khi điều tra tranh chấp.
  • Quyền phản đối: phản đối xử lý cho mục đích marketing trực tiếp.
  • Quyền khiếu nại: khiếu nại tới Cục An toàn thông tin, Bộ TT&TT hoặc cơ quan có thẩm quyền nếu cho rằng dữ liệu bị xử lý sai.

Để thực hiện các quyền trên, vui lòng email privacy@adsngam.com. Chúng tôi phản hồi trong vòng 72 giờ (theo điều 14 NĐ 13/2023).

7. Cookies và công nghệ tương tự

Website sử dụng cookies cho 3 mục đích:

  • Cookie cần thiết: lưu phiên đăng nhập (next-auth.session-token), giỏ hàng. Không thể tắt — cần thiết để website hoạt động.
  • Cookie phân tích: Google Analytics 4 đo lường lưu lượng (anonymized).
  • Cookie marketing: hiện chưa sử dụng. Khi triển khai (Facebook Pixel / TikTok Pixel) sẽ thông báo trước.

Bạn có thể tắt cookies trong trình duyệt, tuy nhiên một số tính năng (đăng nhập, giỏ hàng) sẽ ngừng hoạt động.

8. Bảo mật dữ liệu

  • Mật khẩu lưu dưới dạng bcrypt hash (cost 12) — không thể giải mã ngược.
  • Toàn bộ kết nối dùng HTTPS / TLS 1.3 (Let's Encrypt).
  • Database giới hạn truy cập theo IP whitelist + password mạnh.
  • Các action quan trọng đều có audit log ghi nhận actor + thời gian.
  • Nhân viên truy cập dữ liệu user phải qua xác thực 2 lớp.

Trong trường hợp xảy ra rò rỉ dữ liệu, chúng tôi sẽ thông báo cho người dùng bị ảnh hưởng và Cục An toàn thông tin trong vòng 72 giờ theo quy định.

9. Lưu trữ dữ liệu

  • Tài khoản đang hoạt động: lưu vô thời hạn cho đến khi bạn yêu cầu xóa.
  • Tài khoản đã xóa: dữ liệu cá nhân xóa trong 30 ngày, trừ thông tin hóa đơn (lưu 10 năm theo Luật Kế toán).
  • Logs phân tích: tối đa 26 tháng (Google Analytics 4 default).
  • Email backup: lưu 12 tháng để hỗ trợ khôi phục dispute.

10. Trẻ em dưới 16 tuổi

Dịch vụ không hướng tới trẻ em dưới 16 tuổi. Chúng tôi không cố tình thu thập dữ liệu của trẻ. Nếu phát hiện đã thu thập, chúng tôi sẽ xóa ngay khi nhận được thông báo từ phụ huynh / người giám hộ qua privacy@adsngam.com.

11. Thay đổi chính sách

Chính sách có thể được cập nhật khi luật hoặc dịch vụ thay đổi. Phiên bản mới sẽ được đăng tại trang này với mốc cập nhật ở đầu trang. Người dùng đang sử dụng dịch vụ sẽ nhận email thông báo nếu có thay đổi quan trọng.

12. Liên hệ về dữ liệu cá nhân

Mọi yêu cầu liên quan đến dữ liệu cá nhân (truy cập, sửa, xóa, khiếu nại):

  • Email DPO: privacy@adsngam.com
  • Zalo / Hotline: 0902 038 146
  • Cơ quan giám sát: Cục An toàn thông tin — Bộ Thông tin và Truyền thông