CHÍNH SÁCH BẢO MẬT QRANTY

1. GIỚI THIỆU

1.1. Về Chính sách này

Chính sách Bảo mật này giải thích cách nhà phát triển dịch vụ giải pháp phần mềm Qranty (Sau đây gọi là "Qranty", "chúng tôi") thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân khi bạn sử dụng nền tảng Qranty.

1.2. Phạm vi áp dụng

Chính sách này áp dụng cho:

• Doanh nghiệp: Tổ chức đăng ký sử dụng dịch vụ Qranty
• Người tiêu dùng cuối: Khách hàng của Doanh nghiệp quét mã QR để kích hoạt bảo hành sản phẩm

1.3. Cam kết bảo mật

Qranty cam kết:

• Tuân thủ Luật Bảo vệ dữ liệu cá nhân 2024 và các quy định pháp luật Việt Nam liên quan.
• Bảo vệ dữ liệu cá nhân bằng các biện pháp kỹ thuật và tổ chức phù hợp.
• Minh bạch về cách thức thu thập và xử lý dữ liệu cá nhân.
• Tôn trọng quyền của chủ thể dữ liệu.

1.4. Đồng ý

Bằng việc sử dụng dịch vụ Qranty, bạn xác nhận đã đọc, hiểu và đồng ý với Chính sách Bảo mật này.

2. VAI TRÒ VÀ TRÁCH NHIỆM

2.1. Vai trò xử lý dữ liệu

Đối với Doanh nghiệp (B2B):

Qranty: Là Bên kiểm soát dữ liệu - thu thập và xử lý dữ liệu doanh nghiệp cho mục đích cung cấp dịch vụ.

Đối với Người tiêu dùng cuối:

Doanh nghiệp: Là Bên kiểm soát dữ liệu - quyết định mục đích và phương thức xử lý dữ liệu của khách hàng của họ.

Qranty: Là Bên xử lý dữ liệu - xử lý dữ liệu theo chỉ thị của Doanh nghiệp.

2.2. Trách nhiệm của Doanh nghiệp

Khi sử dụng Qranty để thu thập dữ liệu Người tiêu dùng cuối, Doanh nghiệp có trách nhiệm:

• Thu thập sự đồng ý hợp pháp từ Người tiêu dùng cuối.
• Cung cấp thông báo rõ ràng về việc thu thập và xử lý dữ liệu.
• Đảm bảo Người tiêu dùng cuối có thể thực hiện các quyền của mình (xem, sửa, xóa dữ liệu).
• Chỉ sử dụng dữ liệu cho mục đích đã thông báo và tuân thủ pháp luật.

2.3. Trách nhiệm của Qranty

Với vai trò Bên xử lý dữ liệu, Qranty:

• Chỉ xử lý dữ liệu theo chỉ thị của Doanh nghiệp.
• Không sử dụng dữ liệu Người tiêu dùng cuối cho mục đích riêng.
• Áp dụng các biện pháp bảo mật phù hợp.
• Hỗ trợ Doanh nghiệp thực hiện nghĩa vụ pháp lý của họ.

3. DỮ LIỆU ĐƯỢC THU THẬP

3.1. Dữ liệu từ Doanh nghiệp

Khi Doanh nghiệp đăng ký và sử dụng Qranty, chúng tôi thu thập:

• A. Thông tin đăng ký và tài khoản: Tên doanh nghiệp, Mã số thuế, Địa chỉ trụ sở, Thông tin người đại diện (họ tên, chức vụ), Email doanh nghiệp, Số điện thoại liên hệ
• B. Thông tin thanh toán: Thông tin hóa đơn, Lịch sử giao dịch, Phương thức thanh toán (không lưu trữ chi tiết thẻ tín dụng)
• C. Thông tin sử dụng dịch vụ: Nhật ký truy cập (logs), Địa chỉ IP, Loại trình duyệt và thiết bị, Hoạt động trên nền tảng (tính năng sử dụng, thời gian, tần suất), Dữ liệu phân tích và thống kê
• D. Thông tin liên lạc: Nội dung email, tin nhắn gửi đến bộ phận hỗ trợ, Ghi chú cuộc gọi (nếu có)

3.2. Dữ liệu từ Người tiêu dùng cuối

Khi Người tiêu dùng cuối quét mã QR để kích hoạt bảo hành, Qranty thu thập thay mặt Doanh nghiệp:

• A. Thông tin cá nhân: Họ và tên, Số điện thoại, Địa chỉ email, Địa chỉ giao hàng/lắp đặt
• B. Thông tin sản phẩm: Tên sản phẩm, Mã sản phẩm/Serial number, Ngày mua hàng, Nơi mua hàng, Thời gian bảo hành, Hình ảnh sản phẩm (nếu có)
• C. Thông tin kỹ thuật: Địa chỉ IP, Loại thiết bị và trình duyệt, Thời gian quét mã QR, Vị trí địa lý (nếu được cấp quyền)

3.3. Dữ liệu từ nguồn khác

Cookies và công nghệ theo dõi:

Qranty sử dụng cookies và công nghệ tương tự để:

• Duy trì phiên đăng nhập
• Ghi nhớ tùy chọn người dùng
• Phân tích cách sử dụng dịch vụ
• Cải thiện trải nghiệm người dùng

Bạn có thể quản lý cookies qua cài đặt trình duyệt, nhưng việc vô hiệu hóa cookies có thể ảnh hưởng đến một số tính năng.

4. MỤC ĐÍCH SỬ DỤNG DỮ LIỆU

4.1. Dữ liệu của Doanh nghiệp

Qranty sử dụng dữ liệu Doanh nghiệp để:

• A. Cung cấp và vận hành dịch vụ: Tạo và quản lý tài khoản, Cung cấp quyền truy cập vào nền tảng, Xử lý thanh toán và xuất hóa đơn, Cung cấp hỗ trợ kỹ thuật
• B. Cải thiện dịch vụ: Phân tích cách sử dụng để tối ưu tính năng, Phát triển sản phẩm mới, Khắc phục lỗi và cải thiện hiệu suất
• C. Liên lạc: Gửi thông báo về dịch vụ (bảo trì, cập nhật), Gửi hóa đơn và thông tin thanh toán, Trả lời yêu cầu hỗ trợ, Gửi thông tin sản phẩm mới (nếu đồng ý)
• D. Tuân thủ pháp luật: Đáp ứng yêu cầu của cơ quan có thẩm quyền, Thực hiện nghĩa vụ kế toán, thuế, Bảo vệ quyền và lợi ích hợp pháp

4.2. Dữ liệu của Người tiêu dùng cuối

Qranty xử lý dữ liệu Người tiêu dùng cuối theo chỉ thị của Doanh nghiệp cho các mục đích:

• A. Quản lý bảo hành: Kích hoạt và ghi nhận thông tin bảo hành, Theo dõi thời hạn bảo hành, Xử lý yêu cầu bảo hành/sửa chữa
• B. Chăm sóc khách hàng: Gửi thông báo về bảo hành, Nhắc nhở bảo dưỡng định kỳ, Hỗ trợ khách hàng
• C. Marketing (nếu có sự đồng ý): Giới thiệu sản phẩm mới, Chương trình khuyến mãi, Khảo sát ý kiến khách hàng

Lưu ý quan trọng: Việc sử dụng dữ liệu cho mục đích marketing phải được Người tiêu dùng cuối đồng ý riêng. Trách nhiệm thu thập sự đồng ý này thuộc về Doanh nghiệp.

5. CHIA SẺ VÀ CHUYỂN GIAO DỮ LIỆU

5.1. Nguyên tắc chung

Qranty không bán dữ liệu cá nhân cho bên thứ ba. Chúng tôi chỉ chia sẻ dữ liệu trong các trường hợp sau:

5.2. Chia sẻ với Doanh nghiệp

Dữ liệu Người tiêu dùng cuối được chia sẻ với Doanh nghiệp thông qua nền tảng Qranty và API. Doanh nghiệp có toàn quyền truy cập vào dữ liệu khách hàng của họ.

5.3. Nhà cung cấp dịch vụ

Qranty có thể chia sẻ dữ liệu với các nhà cung cấp dịch vụ sau:

• A. Cơ sở hạ tầng và hosting: Nhà cung cấp server và cloud storage, CDN (Content Delivery Network), Dịch vụ bảo mật
• B. Dịch vụ thanh toán: Cổng thanh toán điện tử, Ngân hàng
• C. Dịch vụ truyền thông: Nhà cung cấp email marketing, SMS gateway, Zalo OA (trong tương lai), Call center (trong tương lai)
• D. Công cụ phân tích: Google Analytics hoặc tương tự, Công cụ giám sát hiệu suất

Cam kết: Tất cả nhà cung cấp dịch vụ phải ký hợp đồng bảo mật và chỉ được xử lý dữ liệu theo chỉ thị của Qranty.

5.4. Tích hợp qua API

Khi Doanh nghiệp sử dụng API Qranty để tích hợp với hệ thống bên thứ ba (CRM, ERP, v.v.):

• Doanh nghiệp chịu trách nhiệm về việc chia sẻ dữ liệu.
• Qranty không kiểm soát cách bên thứ ba sử dụng dữ liệu.
• Doanh nghiệp phải đảm bảo tuân thủ chính sách bảo mật của bên thứ ba.

5.5. Yêu cầu pháp lý

Qranty có thể tiết lộ dữ liệu khi:

• Có lệnh của tòa án hoặc cơ quan có thẩm quyền
• Cần thiết để tuân thủ pháp luật
• Bảo vệ quyền, tài sản hoặc an toàn của Qranty, người dùng hoặc công chúng
• Phát hiện, ngăn chặn hoặc giải quyết gian lận, vi phạm bảo mật

5.6. Chuyển nhượng kinh doanh

Trong trường hợp sáp nhập, mua bán hoặc chuyển nhượng tài sản:

• Dữ liệu có thể được chuyển cho bên kế thừa
• Chúng tôi sẽ thông báo trước cho người dùng
• Bên kế thừa phải cam kết tuân thủ Chính sách Bảo mật này

5.7. Chuyển dữ liệu ra nước ngoài

Hiện tại, Qranty lưu trữ dữ liệu tại Việt Nam. Nếu có nhu cầu chuyển dữ liệu ra nước ngoài:

• Chúng tôi sẽ thông báo trước
• Đảm bảo nước tiếp nhận có mức độ bảo vệ tương đương
• Thu thập sự đồng ý nếu pháp luật yêu cầu

6. BẢO MẬT VÀ LƯU TRỮ DỮ LIỆU

6.1. Biện pháp bảo mật kỹ thuật

Qranty áp dụng các biện pháp sau để bảo vệ dữ liệu:

• A. Mã hóa: Mã hóa truyền tải: SSL/TLS cho tất cả kết nối, Mã hóa lưu trữ: Dữ liệu nhạy cảm được mã hóa khi lưu trữ, Mã hóa mật khẩu: Sử dụng thuật toán hash mạnh (bcrypt, Argon2)
• B. Kiểm soát truy cập: Xác thực đa yếu tố (MFA) cho tài khoản quan trọng, Phân quyền theo vai trò (RBAC), Nhật ký truy cập chi tiết
• C. Bảo mật hạ tầng: Firewall và IDS/IPS, Định kỳ quét lỗ hổng bảo mật, Cập nhật bản vá bảo mật thường xuyên, Backup dữ liệu định kỳ
• D. Giám sát: Giám sát 24/7 hoạt động bất thường, Cảnh báo vi phạm an ninh, Kiểm tra bảo mật định kỳ

6.2. Biện pháp bảo mật tổ chức

• A. Nhân sự: Kiểm tra lý lịch nhân viên, Đào tạo bảo mật thường xuyên, Ký cam kết bảo mật
• B. Chính sách nội bộ: Chính sách truy cập dữ liệu nghiêm ngặt, Nguyên tắc "cần biết" (need-to-know), Quy trình xử lý sự cố bảo mật
• C. Kiểm toán: Kiểm toán bảo mật định kỳ, Đánh giá rủi ro thường xuyên, Cải tiến liên tục

6.3. Thời gian lưu trữ

• A. Dữ liệu Doanh nghiệp: Trong thời gian hợp đồng: Lưu trữ toàn bộ, Sau khi chấm dứt: Lưu trữ 30 ngày để Doanh nghiệp xuất dữ liệu, sau đó xóa vĩnh viễn, Dữ liệu kế toán, thuế: Lưu trữ theo quy định pháp luật (tối thiểu 10 năm)
• B. Dữ liệu Người tiêu dùng cuối: Lưu trữ theo chỉ thị của Doanh nghiệp, Doanh nghiệp có thể yêu cầu xóa bất cứ lúc nào, Nếu Doanh nghiệp chấm dứt dịch vụ, dữ liệu được xóa sau 30 ngày
• C. Logs và dữ liệu kỹ thuật: Lưu trữ tối đa 12 tháng cho mục đích bảo mật và khắc phục sự cố

6.4. Xóa dữ liệu an toàn

Khi xóa dữ liệu: Sử dụng phương pháp xóa an toàn (không thể khôi phục), Xóa tất cả bản backup, Cung cấp xác nhận xóa nếu được yêu cầu.

6.5. Hạn chế

Mặc dù nỗ lực hết mình, không có hệ thống nào 100% an toàn. Qranty không thể đảm bảo tuyệt đối an ninh dữ liệu trước các cuộc tấn công tinh vi hoặc sự cố bất khả kháng.

7. QUYỀN CỦA CHỦ THẾ DỮ LIỆU

Theo Luật Bảo vệ dữ liệu cá nhân 2024, bạn có các quyền sau:

7.1. Quyền được biết

Bạn có quyền biết: Dữ liệu cá nhân nào đang được thu thập, Mục đích thu thập, Ai là người thu thập và xử lý, Thời gian lưu trữ.

7.2. Quyền truy cập và sao lưu

Bạn có quyền: Xem dữ liệu cá nhân của mình, Yêu cầu sao lưu dữ liệu ở định dạng phổ biến.

• Đối với Doanh nghiệp: Truy cập trực tiếp qua dashboard hoặc xuất qua API.
• Đối với Người tiêu dùng cuối: Liên hệ Doanh nghiệp hoặc Qranty.

7.3. Quyền sửa chữa

Bạn có quyền yêu cầu sửa chữa dữ liệu không chính xác hoặc không đầy đủ.

• Đối với Doanh nghiệp: Tự sửa qua dashboard.
• Đối với Người tiêu dùng cuối: Liên hệ Doanh nghiệp trước. Nếu Doanh nghiệp không phản hồi, liên hệ Qranty.

7.4. Quyền xóa dữ liệu

Bạn có quyền yêu cầu xóa dữ liệu trong các trường hợp: Dữ liệu không còn cần thiết, Bạn rút lại sự đồng ý, Dữ liệu xử lý trái pháp luật.

Ngoại lệ: Chúng tôi có thể từ chối xóa nếu cần để tuân thủ pháp luật (kế toán, thuế), giải quyết tranh chấp hoặc bảo vệ quyền lợi hợp pháp.

7.5. Quyền hạn chế xử lý

Bạn có quyền yêu cầu tạm dừng xử lý dữ liệu khi đang tranh chấp tính chính xác hoặc xử lý trái pháp luật nhưng bạn không muốn xóa.

7.6. Quyền phản đối

Bạn có quyền phản đối việc xử lý dữ liệu cho mục đích Marketing trực tiếp hoặc Lợi ích hợp pháp.

7.7. Quyền rút lại sự đồng ý

Nếu xử lý dựa trên sự đồng ý, bạn có quyền rút lại bất cứ lúc nào. Việc rút lại không ảnh hưởng đến tính hợp pháp của xử lý trước đó.

7.8. Quyền khiếu nại

Nếu cho rằng quyền của bạn bị vi phạm, bạn có quyền khiếu nại với Qranty hoặc cơ quan bảo vệ dữ liệu có thẩm quyền.

7.9. Cách thực hiện quyền

Đối với Doanh nghiệp: Hầu hết quyền thực hiện trực tiếp qua dashboard hoặc gửi email đến support@qranty.com.

Đối với Người tiêu dùng cuối: Bước 1: Liên hệ Doanh nghiệp nơi bạn mua sản phẩm. Bước 2: Nếu Doanh nghiệp không phản hồi trong 15 ngày, liên hệ Qranty qua email hoặc hotline.

8. VI PHẠM DỮ LIỆU

8.1. Thông báo vi phạm

Trong trường hợp xảy ra vi phạm dữ liệu (data breach), Qranty sẽ:

• Thông báo cho cơ quan có thẩm quyền trong vòng 72 giờ.
• Thông báo cho Doanh nghiệp ngay lập tức.
• Thông báo cho Người tiêu dùng cuối nếu có khả năng rủi ro cao.

8.2. Biện pháp khắc phục

Qranty cam kết: Điều tra nguyên nhân, ngăn chặn vi phạm, khắc phục lỗ hổng và cải thiện quy trình.

9. TRẺ EM VÀ NGƯỜI CHƯA THÀNH NIÊN

Qranty không cố ý thu thập dữ liệu từ trẻ em dưới 16 tuổi mà không có sự đồng ý của cha mẹ. Nếu phát hiện vô tình thu thập, chúng tôi sẽ xóa trong thời gian sớm nhất.

10. LIÊN KẾT BÊN THỨ BA

Chúng tôi không chịu trách nhiệm về nội dung hay chính sách bảo mật của các website bên thứ ba có liên kết trên nền tảng Qranty.

11. THAY ĐỔI CHÍNH SÁCH

Qranty có quyền cập nhật Chính sách này. Thay đổi quan trọng sẽ được thông báo trước ít nhất 30 ngày qua email hoặc thông báo trên nền tảng.

12. TUÂN THỦ PHÁP LUẬT

Chính sách này tuân thủ Luật Bảo vệ dữ liệu cá nhân 2024 (Luật số 12/2024/QH15) và các văn bản pháp luật liên quan.

14. TUYÊN BỐ CUỐI CÙNG

Qranty cam kết bảo vệ quyền riêng tư của bạn. Chúng tôi khuyến khích bạn đọc kỹ chính sách này và liên hệ nếu có thắc mắc.