Chính sách bảo mật

Cập nhật lần cuối: 06/05/2026

Mục lục

Phạm vi áp dụng
Dữ liệu thu thập
Mục đích sử dụng
Bên thứ ba
Lưu trữ & bảo mật
Thời gian lưu trữ
Quyền của người dùng
Cookies
Trẻ em
Thay đổi chính sách
Liên hệ

HMV Chatbot AI (dưới đây gọi là "Dịch vụ", "chúng tôi") cam kết bảo vệ dữ liệu cá nhân của khách hàng (gọi là "Tenant") và người dùng cuối tương tác với chatbot do Tenant triển khai. Chính sách này mô tả cách chúng tôi thu thập, sử dụng, lưu trữ và bảo vệ dữ liệu, tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân của Việt Nam và các quy định liên quan.

1. Phạm vi áp dụng

Chính sách áp dụng cho mọi truy cập và sử dụng trang web hmvapp.com, các sub-domain của Dịch vụ, và mọi tích hợp với nền tảng tin nhắn bên thứ ba (Facebook Messenger, Zalo OA, Web widget, Email).

2. Dữ liệu thu thập

2.1 Từ Tenant (chủ tài khoản doanh nghiệp)

Họ tên, email, số điện thoại đại diện
Tên doanh nghiệp, mã số thuế (cho hoá đơn)
Thông tin thanh toán (xử lý qua cổng PayOS — chúng tôi không lưu số thẻ ngân hàng)
Tài liệu Tenant tải lên để training chatbot (knowledge base)

2.2 Từ người dùng cuối (khách hàng của Tenant)

Tin nhắn gửi đến chatbot (text, hình ảnh, file đính kèm)
Họ tên, ảnh đại diện công khai trên Facebook/Zalo (lấy qua Graph API/Zalo API)
ID người dùng do Facebook/Zalo cấp (PSID/UID — không phải thông tin cá nhân thực)
Email, số điện thoại nếu người dùng tự cung cấp trong cuộc trò chuyện (lead form)

2.3 Tự động

Địa chỉ IP, loại trình duyệt, thiết bị (cho mục đích bảo mật và phân tích)
Thời điểm truy cập, các trang đã xem
Cookie session (chỉ HttpOnly, Secure, SameSite=Lax)

3. Mục đích sử dụng

Cung cấp dịch vụ: chatbot trả lời tin nhắn, lưu lịch sử hội thoại, gợi ý câu trả lời cho nhân viên CSKH
Cải thiện AI: sử dụng tin nhắn ẩn danh hoá để fine-tune mô hình (Tenant có thể opt-out)
Tính phí và xuất hoá đơn
Hỗ trợ kỹ thuật và liên lạc với Tenant
Bảo mật: phát hiện gian lận, lạm dụng, vi phạm điều khoản
Tuân thủ pháp luật: khi có yêu cầu hợp lệ từ cơ quan nhà nước có thẩm quyền

4. Bên thứ ba

Chúng tôi chia sẻ một phần dữ liệu cần thiết với các nhà cung cấp dịch vụ sau:

Anthropic (AI provider) — gửi nội dung tin nhắn để xử lý ngôn ngữ tự nhiên. Anthropic không lưu trữ dữ liệu để training (theo điều khoản API).
Voyage AI — embedding tài liệu cho RAG (Retrieval-Augmented Generation).
Meta Platforms (Facebook) — khi Tenant tích hợp Messenger, dữ liệu trao đổi tuân theo Chính sách dữ liệu của Facebook.
Zalo Group (VNG) — khi Tenant tích hợp Zalo OA, tuân theo Chính sách Zalo OA.
PayOS — xử lý thanh toán, không truy cập dữ liệu hội thoại.
Cloudflare/AWS/GCP — hạ tầng máy chủ và CDN.

Chúng tôi không bán dữ liệu cá nhân cho bất kỳ bên thứ ba nào cho mục đích quảng cáo hoặc tiếp thị.

5. Lưu trữ & bảo mật

Mật khẩu được hash bằng bcrypt (cost factor ≥ 12) — chúng tôi không thể xem mật khẩu thật của bạn.
Token truy cập (Facebook, Zalo) được mã hoá bằng AES-256-GCM trước khi lưu vào DB.
Mọi truy cập web đều dùng HTTPS/TLS 1.3.
Cookie xác thực HttpOnly + Secure + SameSite=Lax.
Hệ thống áp dụng kiến trúc multi-tenant schema-per-tenant — dữ liệu mỗi Tenant cách ly trong PostgreSQL schema riêng.
Hỗ trợ 2FA (xác thực 2 yếu tố) cho tài khoản admin.
Audit log mọi thao tác nhạy cảm (đăng nhập, thay đổi quyền, xoá dữ liệu).

6. Thời gian lưu trữ

Hội thoại: theo gói cước Tenant chọn (mặc định 90 ngày, gói Enterprise có thể tuỳ chỉnh).
Audit log đăng nhập: 90 ngày, sau đó tự động prune.
Hoá đơn: 5 năm (tuân thủ luật kế toán Việt Nam).
Tài khoản đã xoá: dữ liệu cá nhân được anonymize trong vòng 30 ngày.

7. Quyền của người dùng

Theo Nghị định 13/2023/NĐ-CP, bạn có các quyền sau:

Quyền được biết thông tin nào đang được xử lý.
Quyền truy cập dữ liệu của mình (export trong tài khoản admin).
Quyền chỉnh sửa thông tin sai lệch.
Quyền xoá tài khoản và dữ liệu liên quan (gửi yêu cầu qua email privacy@hmvapp.com).
Quyền hạn chế xử lý trong các trường hợp tranh chấp.
Quyền phản đối việc xử lý cho mục đích marketing.
Quyền khiếu nại đến cơ quan có thẩm quyền nếu chúng tôi vi phạm.

8. Cookies

Chúng tôi chỉ sử dụng cookie thiết yếu:

session — duy trì đăng nhập (HttpOnly, Secure, hết hạn sau 8 giờ).
zalo_oauth_state, fb_oauth_state — chống CSRF cho luồng OAuth (10 phút).

Chúng tôi không sử dụng cookie tracking quảng cáo của bên thứ ba.

9. Trẻ em

Dịch vụ không được thiết kế cho người dưới 16 tuổi. Nếu phát hiện tài khoản thuộc trẻ em, chúng tôi sẽ xoá ngay. Tenant chịu trách nhiệm tuân thủ quy định bảo vệ trẻ em khi sử dụng dịch vụ trong sản phẩm hướng đến đối tượng này.

10. Thay đổi chính sách

Chúng tôi có thể cập nhật chính sách này theo thời gian. Mọi thay đổi quan trọng sẽ được thông báo qua email (cho Tenant) ít nhất 30 ngày trước khi có hiệu lực. Phiên bản mới nhất luôn được công bố tại trang này với ngày cập nhật ở đầu trang.

11. Liên hệ

Mọi thắc mắc về chính sách này, vui lòng liên hệ:

Email yêu cầu xoá dữ liệu (DPO): privacy@hmvapp.com
Email chung: support@hmvapp.com
Hotline: +84 24 5678 9012
Địa chỉ: N&D EDU GROUP, Hà Nội, Việt Nam