Chính sách bảo mật

1. Giới thiệu

Chính sách bảo mật này giải thích cách ứng dụng VnUID ("Ứng dụng") xử lý thông tin khi bạn sử dụng dịch vụ của chúng tôi.

2. Dữ liệu chúng tôi thu thập

Phạm vi dữ liệu phụ thuộc vào cách bạn dùng ứng dụng:

• Khi quét và tra cứu (không cần tài khoản): Chúng tôi không yêu cầu thông tin cá nhân. Bạn có thể quét mã, xem chi tiết sản phẩm và đọc tin tức mà không cần đăng nhập.
• Khi đăng nhập: Chúng tôi thu thập địa chỉ email của bạn để gửi mã đăng nhập một lần (OTP) và để nhận diện tài khoản người dân hoặc tài khoản doanh nghiệp.
• Đối với tài khoản doanh nghiệp: Chúng tôi lưu trữ nội dung mà bạn chủ động tạo trong khu vực doanh nghiệp (xem Mục 5).
• Không theo dõi: Không có analytics, không tracking hành vi, không cookies quảng cáo.
• Không quảng cáo: Không có SDK quảng cáo hoặc thu thập dữ liệu cho mục đích quảng cáo.

3. Tài khoản và đăng nhập (Email + OTP)

VnUID có hai loại tài khoản: người dân và doanh nghiệp. Việc đăng nhập là tùy chọn cho người dân (chỉ cần thiết cho một số tính năng như lưu hoạt động và gửi phản ánh) và bắt buộc đối với khu vực doanh nghiệp.

• Bạn nhập địa chỉ email, chúng tôi gửi một mã OTP đến email đó, và bạn nhập mã để hoàn tất đăng nhập.
• Chúng tôi không sử dụng mật khẩu; xác thực hoàn toàn dựa trên email và mã OTP.
• Sau khi đăng nhập, một mã phiên (session token) được lưu an toàn trên thiết bị để giữ bạn ở trạng thái đăng nhập. Bạn có thể đăng xuất bất cứ lúc nào trong phần Cài đặt.

4. Gửi mã đăng nhập qua email

Để gửi mã OTP, địa chỉ email của bạn được chuyển đến Brevo (nhà cung cấp dịch vụ gửi email, đóng vai trò nhà xử lý phụ — sub-processor). Brevo chỉ xử lý email của bạn nhằm mục đích gửi mã đăng nhập. Chúng tôi không dùng email của bạn để gửi thư quảng cáo. Chính sách bảo mật của Brevo áp dụng cho hoạt động xử lý này.

5. Dữ liệu do tài khoản doanh nghiệp tạo ra

Nếu bạn sử dụng khu vực doanh nghiệp, các nội dung bạn chủ động tạo và quản lý — chẳng hạn lô hàng, mã định danh sản phẩm (UID), địa điểm, và thông báo thu hồi — được gửi đến và lưu trữ trên máy chủ của chúng tôi để cung cấp dịch vụ truy xuất nguồn gốc. Dữ liệu này gắn với tài khoản doanh nghiệp của bạn và chỉ được dùng để vận hành tính năng truy xuất nguồn gốc, không dùng cho quảng cáo hay bán cho bên thứ ba.

6. Yêu cầu mạng đến máy chủ của chúng tôi

Khi bạn quét mã, mở chi tiết sản phẩm, xem tin tức, đăng nhập, hoặc dùng tính năng doanh nghiệp, ứng dụng sẽ gửi truy vấn đến máy chủ của chúng tôi. Các truy vấn này:

• Đi qua hạ tầng Cloudflare Workers, là nhà cung cấp hạ tầng (sub-processor) của chúng tôi. Cloudflare có thể ghi lại siêu dữ liệu kỹ thuật chuẩn của mỗi truy vấn (địa chỉ IP, user-agent, thời điểm truy cập) phục vụ mục đích phòng chống lạm dụng và vận hành dịch vụ. Chính sách bảo mật của Cloudflare áp dụng cho dữ liệu này.
• Đối với hành động tra cứu/đọc tin tức, truy vấn không kèm thông tin định danh cá nhân. Đối với hành động liên quan đến tài khoản (đăng nhập, dữ liệu doanh nghiệp), truy vấn kèm theo email và/hoặc mã phiên để xác thực.
• Không được dùng cho phân tích hành vi, hồ sơ người dùng, hoặc bất kỳ mục đích thương mại nào.

7. Dữ liệu lưu trữ cục bộ

Ứng dụng lưu trữ một số dữ liệu trên thiết bị của bạn để cung cấp chức năng:

• Mã phiên đăng nhập: Lưu an toàn trên thiết bị để giữ bạn ở trạng thái đăng nhập; bị xóa khi bạn đăng xuất.
• Lịch sử quét: Danh sách các mã QR/barcode bạn đã quét.
• Cài đặt ứng dụng: Tùy chọn ngôn ngữ và thông báo.
• Cache dữ liệu sản phẩm và tin tức: Bản sao các nội dung tải về từ máy chủ, có thời hạn ngắn (khoảng 1 giờ), giúp ứng dụng phản hồi nhanh hơn và hoạt động được khi không có Internet.

Lịch sử quét, cài đặt và cache được lưu cục bộ và không được gửi ngược lại máy chủ. Mã phiên chỉ được gửi đến máy chủ của chúng tôi để xác thực các yêu cầu liên quan đến tài khoản.

8. Quyền truy cập Camera

VnUID yêu cầu quyền truy cập camera để quét mã QR và barcode. Hình ảnh từ camera được xử lý trên thiết bị và không được lưu trữ hoặc truyền đi bất cứ đâu.

9. Quyền truy cập Thư viện ảnh

Bạn có thể tải ảnh từ thư viện để quét mã QR/barcode. Ảnh được xử lý cục bộ và không được gửi đến máy chủ nào.

10. Chia sẻ dữ liệu

Chúng tôi không bán dữ liệu và không chia sẻ dữ liệu với bên thứ ba cho mục đích quảng cáo hoặc phân tích hành vi. Chúng tôi chỉ chia sẻ dữ liệu với các nhà xử lý phụ (sub-processor) cần thiết để vận hành dịch vụ:

• Cloudflare — hạ tầng máy chủ và xử lý siêu dữ liệu yêu cầu mạng (xem Mục 6).
• Brevo — gửi email chứa mã đăng nhập OTP (xem Mục 4).

11. Bảo mật dữ liệu

Dữ liệu cục bộ được lưu trên thiết bị của bạn và được bảo vệ bởi các biện pháp bảo mật của hệ điều hành (iOS/Android). Mã phiên được lưu trong vùng lưu trữ an toàn của thiết bị. Mọi truy vấn đến máy chủ của chúng tôi đều dùng kết nối HTTPS được mã hóa.

12. Quyền của bạn

Bạn có toàn quyền kiểm soát dữ liệu của mình:

• Đăng xuất: Vào Cài đặt > Đăng xuất để xóa mã phiên khỏi thiết bị.
• Xóa lịch sử: Vào Cài đặt > Xóa lịch sử quét.
• Xóa cache: Gỡ và cài lại ứng dụng sẽ xóa toàn bộ cache cục bộ.
• Xóa tài khoản và dữ liệu: Bạn có thể xóa tài khoản ngay trong ứng dụng — người dân: Cài đặt > Tài khoản > Xóa tài khoản; doanh nghiệp: màn hình đăng nhập doanh nghiệp > Xóa tài khoản. Việc này xóa phiên đăng nhập và dữ liệu liên quan. Bạn cũng có thể gửi yêu cầu xóa qua minhnt94@gmail.com; chúng tôi sẽ xử lý trong thời gian hợp lý.
• Gỡ ứng dụng: Xóa ứng dụng sẽ xóa tất cả dữ liệu liên quan trên thiết bị.

13. Quyền riêng tư của trẻ em

VnUID không hướng đến trẻ em và không cố ý thu thập dữ liệu cá nhân của trẻ em.

14. Thay đổi chính sách

Nếu có thay đổi về chính sách bảo mật, chúng tôi sẽ cập nhật trang này và thông báo trong ứng dụng (nếu cần thiết).

15. Liên hệ

Nếu bạn có câu hỏi về chính sách bảo mật này, vui lòng liên hệ:

• Email: minhnt94@gmail.com