CHÍNH SÁCH BẢO MẬT DỮ LIỆU

(Data Protection Policy – Tuân thủ chuẩn GDPR, ISO 27001, ISO 27701 & pháp luật Việt Nam)

CÔNG TY TNHH HẢI PHÒNG TECH cam kết bảo vệ dữ liệu cá nhân và dữ liệu hệ thống của khách hàng, đối tác, nhà cung cấp, nhân sự và toàn bộ người dùng truy cập website
haiphongtech.vn.
Chính sách này mô tả cách thức chúng tôi quản lý, xử lý, bảo vệ dữ liệu theo tiêu chuẩn toàn cầu.

1. Mục tiêu của chính sách

Chính sách bảo mật dữ liệu được xây dựng nhằm:

• Bảo vệ dữ liệu cá nhân khỏi truy cập trái phép, rò rỉ hoặc mất mát.
• Tuân thủ quy định pháp luật Việt Nam & tiêu chuẩn GDPR.
• Thiết lập quy trình quản trị dữ liệu minh bạch, an toàn.
• Đảm bảo toàn vẹn, bảo mật và sẵn sàng của dữ liệu.

2. Loại dữ liệu được bảo vệ

2.1. Dữ liệu cá nhân

• Họ tên, địa chỉ, số điện thoại, email.
• Mã khách hàng, thông tin đăng ký tài khoản.
• Dữ liệu nhạy cảm như CCCD (nếu khách cung cấp).

2.2. Dữ liệu giao dịch

• Thông tin đơn hàng.
• Lịch sử thanh toán.
• Mã vận đơn và trạng thái giao hàng.

2.3. Dữ liệu hệ thống

• Log truy cập máy chủ.
• Dữ liệu vận hành website và API.
• Cookies, session, token xác thực.

3. Cơ sở pháp lý

Việc xử lý dữ liệu được căn cứ vào:

• Luật An ninh mạng Việt Nam
• Nghị định 13/2023 về bảo vệ dữ liệu cá nhân
• GDPR – Điều 6 (Legal Basis)
• CCPA – California Consumer Privacy Act

4. Nguyên tắc bảo vệ dữ liệu

Hải Phòng Tech tuân thủ các nguyên tắc quốc tế:

• Minh bạch: Dữ liệu được xử lý rõ ràng & thông báo trước.
• Giới hạn mục đích: Chỉ dùng dữ liệu đúng mục đích đã thông báo.
• Tối thiểu hóa dữ liệu: Thu thập đúng – đủ – cần thiết.
• Đảm bảo chính xác: Dữ liệu luôn được cập nhật.
• Bảo mật tối đa: Mã hóa, phân quyền & giám sát.
• Giới hạn lưu trữ: Xóa dữ liệu khi hết mục đích.

5. Biện pháp bảo mật dữ liệu

Chúng tôi sử dụng nhiều lớp bảo mật:

5.1. Bảo mật mạng & máy chủ

• Tường lửa Firewall đa lớp
• VPN nội bộ
• Chặn truy cập trái phép theo IP
• Bảo vệ DDoS & anti-bot

5.2. Mã hóa dữ liệu

• Mã hóa SSL/TLS 256-bit
• Mã hóa database theo chuẩn AES-256
• Token hóa thông tin thanh toán

5.3. Bảo mật ứng dụng

• Phát hiện xâm nhập (IDS/IPS)
• Chống SQL Injection, XSS, CSRF
• Quét bảo mật định kỳ

5.4. Bảo mật truy cập nội bộ

• Phân quyền theo vai trò (RBAC)
• Xác thực 2 lớp (2FA)
• Ghi log & giám sát truy cập

6. Quyền của chủ thể dữ liệu

Theo Nghị Định 13/2023 và GDPR, khách hàng có quyền:

• Được biết mục đích xử lý dữ liệu
• Truy cập dữ liệu cá nhân
• Chỉnh sửa dữ liệu sai
• Xóa dữ liệu (“Right to Erasure”)
• Rút lại sự đồng ý
• Chuyển dữ liệu sang hệ thống khác (Data Portability)
• Khiếu nại về việc vi phạm quyền riêng tư

7. Chia sẻ dữ liệu cho bên thứ ba

Dữ liệu chỉ được chia sẻ trong các trường hợp:

• Đơn vị vận chuyển
• Cổng thanh toán
• Đơn vị cung cấp dịch vụ IT
• Cơ quan pháp luật khi có yêu cầu

Chúng tôi không bán, trao đổi, hoặc cung cấp dữ liệu cho bên thứ ba vì mục đích thương mại.

8. Thời gian lưu trữ dữ liệu

Dữ liệu được lưu trữ trong:

• 05 năm kể từ lần tương tác cuối cùng
• Hoặc theo yêu cầu pháp luật
• Hoặc đến khi khách hàng yêu cầu xóa

9. Xử lý vi phạm & sự cố rò rỉ dữ liệu

Nếu xảy ra sự cố rò rỉ dữ liệu:

• Kích hoạt quy trình ứng phó sự cố an ninh mạng
• Thông báo ngay cho chủ thể dữ liệu
• Báo cáo cơ quan quản lý nhà nước
• Khắc phục & ngăn ngừa tái diễn

10. Khiếu nại & liên hệ

11. Cập nhật chính sách

Chính sách sẽ được cập nhật định kỳ khi có thay đổi công nghệ, pháp lý hoặc yêu cầu bảo mật mới.
Phiên bản mới nhất sẽ luôn được công bố trên website Hải Phòng Tech.