Chính Sách Bảo Mật
Cập nhật lần cuối: 28/02/2026
1. Giới thiệu
EZOL (tên miền: ezol.vn) cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của bạn. Chính sách Bảo mật này giải thích cách chúng tôi thu thập, sử dụng, lưu trữ, bảo vệ và chia sẻ dữ liệu cá nhân khi bạn sử dụng nền tảng EZOL.
Chính sách này được xây dựng tuân thủ:
- Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
- Luật An ninh mạng 2018 (Luật số 24/2018/QH14)
- Luật Giao dịch điện tử 2023 (Luật số 20/2023/QH15)
- Nghị định 52/2013/NĐ-CP về Thương mại điện tử
Bằng việc sử dụng dịch vụ EZOL, bạn đồng ý với các điều khoản trong Chính sách Bảo mật này. Vui lòng đọc cùng Điều khoản Sử dụng.
2. Đơn vị kiểm soát dữ liệu
Đơn vị kiểm soát dữ liệu cá nhân:
3. Dữ liệu cá nhân chúng tôi thu thập
3.1. Dữ liệu bạn cung cấp trực tiếp
| Loại dữ liệu | Chi tiết | Mục đích |
|---|---|---|
| Thông tin đăng ký | Họ tên, email, mật khẩu (mã hóa) | Tạo và quản lý tài khoản |
| Thông tin Google OAuth | Tên, email, ảnh đại diện, Google ID | Xác thực đăng nhập nhanh |
| Thông tin Tenant | Tên website, mã tenant, số điện thoại, email, địa chỉ, logo | Cấu hình và vận hành website của bạn |
| Nội dung website | Văn bản, hình ảnh, tệp tin tải lên, cấu trúc trang | Hiển thị và lưu trữ website bạn tạo |
| Bài viết blog | Tiêu đề, nội dung, hình ảnh, danh mục, thẻ | Hệ thống blog tích hợp |
3.2. Dữ liệu Form (từ khách truy cập)
Khi bạn tạo biểu mẫu trên website, khách truy cập có thể gửi thông tin qua các trường sau (tùy cấu hình của bạn):
- Họ tên, email, số điện thoại
- Địa chỉ, quận/huyện, thành phố
- Tin nhắn tự do (textarea)
- Lựa chọn (select, radio, checkbox)
- Ngày tháng, số lượng (number)
- URL, tệp đính kèm (file upload)
- Đánh giá (rating), tên công ty
Lưu ý quan trọng: Đối với Dữ liệu Form, Người dùng EZOL (chủ website) là Bên kiểm soát dữ liệu. EZOL chỉ là Bên xử lý dữ liệu, lưu trữ thông tin thay mặt Người dùng. Chúng tôi không sử dụng Dữ liệu Form cho bất kỳ mục đích nào khác ngoài việc cung cấp dịch vụ cho Người dùng.
3.3. Dữ liệu tự động thu thập
| Loại dữ liệu | Chi tiết | Mục đích |
|---|---|---|
| Dữ liệu thiết bị | Loại trình duyệt, hệ điều hành, độ phân giải màn hình | Tối ưu hóa trải nghiệm |
| Dữ liệu truy cập | Địa chỉ IP, thời gian truy cập, trang đã xem | Bảo mật và phân tích |
| Cookie & Local Storage | Phiên đăng nhập (session), CSRF token, cài đặt giao diện | Vận hành hệ thống xác thực |
4. Mục đích xử lý dữ liệu
Theo Điều 3, Nghị định 13/2023/NĐ-CP, chúng tôi xử lý dữ liệu cá nhân cho các mục đích sau:
| Mục đích | Cơ sở pháp lý |
|---|---|
| Tạo và quản lý tài khoản người dùng | Thực hiện hợp đồng (Điều Khoản Sử Dụng) |
| Cung cấp dịch vụ tạo và hosting website | Thực hiện hợp đồng |
| Xác thực và bảo mật tài khoản | Lợi ích hợp pháp & thực hiện hợp đồng |
| Lưu trữ và quản lý media, nội dung | Thực hiện hợp đồng |
| Gửi thông báo dịch vụ quan trọng | Lợi ích hợp pháp |
| Hỗ trợ kỹ thuật và xử lý yêu cầu | Thực hiện hợp đồng & lợi ích hợp pháp |
| Phân tích, cải thiện chất lượng dịch vụ | Lợi ích hợp pháp |
| Tuân thủ yêu cầu pháp luật, cơ quan nhà nước | Nghĩa vụ pháp lý |
Chúng tôi KHÔNG sử dụng dữ liệu cá nhân của bạn để:
- Bán cho bên thứ ba
- Quảng cáo có nhắm mục tiêu (targeted advertising)
- Phân tích hồ sơ cá nhân tự động (profiling) để đưa ra quyết định ảnh hưởng pháp lý
5. Chia sẻ dữ liệu với bên thứ ba
EZOL chỉ chia sẻ dữ liệu cá nhân trong những trường hợp sau:
| Bên nhận | Mục đích | Dữ liệu chia sẻ |
|---|---|---|
| Google (OAuth) | Xác thực đăng nhập | Token xác thực (không chia sẻ dữ liệu ngược) |
| Nhà cung cấp hosting | Lưu trữ hạ tầng | Dữ liệu mã hóa trên máy chủ |
| Cổng thanh toán (tương lai) | Xử lý giao dịch Premium | Email, tên — KHÔNG lưu thông tin thẻ |
| Cơ quan nhà nước | Tuân thủ yêu cầu pháp luật | Theo yêu cầu bằng văn bản từ cơ quan có thẩm quyền |
Chúng tôi yêu cầu tất cả bên thứ ba tôn trọng tính bảo mật dữ liệu của bạn và xử lý phù hợp với pháp luật Việt Nam.
6. Biện pháp bảo mật dữ liệu
Theo Điều 26, Nghị định 13/2023/NĐ-CP, chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân:
6.1. Biện pháp kỹ thuật
- Mã hóa truyền tải: HTTPS/TLS cho mọi kết nối (chứng chỉ SSL miễn phí)
- Mã hóa mật khẩu: Bcrypt hashing — chúng tôi không lưu mật khẩu dạng văn bản gốc
- Xác thực an toàn: Cookie-based authentication (Laravel Sanctum) với CSRF protection
- Phân quyền truy cập: Mỗi người dùng chỉ truy cập được dữ liệu thuộc tenant của mình
- Tường lửa ứng dụng: Bảo vệ chống SQL injection, XSS, CSRF
- Sao lưu định kỳ: Backup cơ sở dữ liệu tự động
6.2. Biện pháp tổ chức
- Hạn chế quyền truy cập dữ liệu theo nguyên tắc "cần biết" (need-to-know)
- Rà soát bảo mật định kỳ
- Quy trình ứng phó sự cố bảo mật
6.3. Thông báo sự cố
Trong trường hợp xảy ra vi phạm bảo mật dữ liệu cá nhân, chúng tôi sẽ:
- Thông báo cho Bộ Công an (Cục An ninh mạng) trong vòng 72 giờ theo Điều 23, Nghị định 13/2023/NĐ-CP
- Thông báo cho người dùng bị ảnh hưởng qua email trong thời gian sớm nhất
- Mô tả bản chất sự cố, dữ liệu bị ảnh hưởng, biện pháp khắc phục
7. Thời gian lưu trữ dữ liệu
| Loại dữ liệu | Thời gian lưu trữ | Sau khi hết hạn |
|---|---|---|
| Thông tin tài khoản | Suốt thời gian tài khoản hoạt động | Xóa trong 30 ngày sau yêu cầu xóa tài khoản |
| Nội dung website & media | Suốt thời gian tài khoản hoạt động | Xóa khi tài khoản bị xóa |
| Dữ liệu Form | Suốt thời gian tài khoản hoạt động | Xóa khi tài khoản bị xóa |
| Tài khoản không hoạt động | 12 tháng kể từ lần đăng nhập cuối | Gửi cảnh báo, sau đó xóa nếu không phản hồi |
| Dữ liệu log truy cập | 90 ngày | Tự động xóa |
| Bản sao lưu (backup) | 30 ngày | Tự động xóa |
8. Quyền của bạn về dữ liệu cá nhân
Theo Điều 9, Nghị định 13/2023/NĐ-CP, bạn có các quyền sau đối với dữ liệu cá nhân:
🔍 Quyền được biết
Biết dữ liệu nào của bạn được thu thập, mục đích xử lý, và ai có quyền truy cập.
✅ Quyền đồng ý
Đồng ý hoặc không đồng ý cho việc xử lý dữ liệu cá nhân, trừ trường hợp pháp luật quy định.
📂 Quyền truy cập
Yêu cầu cung cấp bản sao dữ liệu cá nhân mà chúng tôi đang lưu trữ.
✏️ Quyền chỉnh sửa
Yêu cầu chỉnh sửa, cập nhật dữ liệu cá nhân không chính xác hoặc không đầy đủ.
🗑️ Quyền xóa
Yêu cầu xóa dữ liệu cá nhân khi không còn cần thiết hoặc khi rút lại sự đồng ý.
🚫 Quyền hạn chế xử lý
Yêu cầu hạn chế việc xử lý dữ liệu trong các trường hợp nhất định.
📤 Quyền di chuyển dữ liệu
Yêu cầu nhận dữ liệu cá nhân ở định dạng có cấu trúc, có thể đọc được bằng máy.
🛡️ Quyền phản đối
Phản đối việc xử lý dữ liệu khi phát hiện vi phạm quy định pháp luật.
⚖️ Quyền khiếu nại
Khiếu nại, tố cáo, khởi kiện theo quy định pháp luật khi quyền bảo vệ dữ liệu bị vi phạm.
💰 Quyền yêu cầu bồi thường
Yêu cầu bồi thường thiệt hại khi dữ liệu cá nhân bị xử lý vi phạm pháp luật.
🔄 Quyền tự bảo vệ
Tự bảo vệ bằng các biện pháp theo quy định pháp luật hoặc yêu cầu cơ quan có thẩm quyền.
Cách thực hiện quyền
Để thực hiện bất kỳ quyền nào ở trên, vui lòng gửi yêu cầu đến [email protected] với:
- Họ tên đầy đủ và email đăng ký tài khoản
- Mô tả chi tiết quyền bạn muốn thực hiện
- Tài liệu xác minh danh tính (nếu cần)
Chúng tôi sẽ xử lý yêu cầu trong vòng 30 ngày kể từ khi xác minh danh tính. Trong trường hợp phức tạp, thời hạn có thể kéo dài thêm 30 ngày với thông báo cho bạn.
9. Cookie & Công nghệ theo dõi
9.1. Cookie chúng tôi sử dụng
| Loại cookie | Tên | Mục đích | Thời hạn |
|---|---|---|---|
| Bắt buộc | Session cookie | Duy trì phiên đăng nhập | Kết thúc khi đóng trình duyệt hoặc hết hạn phiên |
| Bắt buộc | XSRF-TOKEN | Bảo vệ chống tấn công CSRF | Kết thúc cùng phiên |
| Chức năng | Theme/Layout | Lưu tùy chọn giao diện | 1 năm |
9.2. Local Storage
EZOL sử dụng Local Storage của trình duyệt để lưu trữ:
- Thông tin tenant hiện tại
- Cài đặt giao diện (theme, font)
- Token xác thực (auth token)
Bạn có thể xóa cookie và Local Storage bất kỳ lúc nào qua cài đặt trình duyệt. Tuy nhiên, điều này có thể ảnh hưởng đến khả năng sử dụng dịch vụ.
10. Bảo vệ dữ liệu trẻ em
EZOL không cố ý thu thập dữ liệu cá nhân từ người dưới 16 tuổi. Nếu phát hiện chúng tôi đã thu thập dữ liệu từ trẻ em dưới 16 tuổi mà không có sự đồng ý của phụ huynh/người giám hộ, chúng tôi sẽ xóa dữ liệu đó ngay lập tức.
Người dùng từ 16-18 tuổi phải có sự đồng ý của phụ huynh hoặc người giám hộ hợp pháp theo quy định tại Điều 20, Nghị định 13/2023/NĐ-CP.
Nếu bạn là phụ huynh và phát hiện con bạn đã cung cấp dữ liệu không có sự đồng ý của bạn, vui lòng liên hệ [email protected] để chúng tôi xử lý.
11. Chuyển dữ liệu ra nước ngoài
Dữ liệu của bạn được lưu trữ trên máy chủ tại Việt Nam hoặc khu vực Đông Nam Á.
Trong trường hợp cần chuyển dữ liệu ra nước ngoài (ví dụ: sử dụng dịch vụ cloud quốc tế), chúng tôi sẽ:
- Tuân thủ Điều 25, Nghị định 13/2023/NĐ-CP về chuyển dữ liệu xuyên biên giới
- Thực hiện đánh giá tác động trước khi chuyển
- Đảm bảo bên nhận dữ liệu có biện pháp bảo vệ tương đương
- Lập hồ sơ đánh giá tác động gửi Bộ Công an theo quy định
12. Trách nhiệm của Người dùng đối với khách truy cập
Nếu bạn sử dụng EZOL để tạo website thu thập dữ liệu từ khách truy cập (qua form, đăng ký, đặt hàng...), bạn có trách nhiệm pháp lý:
- Hiển thị Chính sách Bảo mật riêng trên website của bạn, giải thích rõ dữ liệu thu thập và mục đích
- Lấy sự đồng ý của khách truy cập trước khi thu thập dữ liệu cá nhân
- Tuân thủ đầy đủ Nghị định 13/2023/NĐ-CP với vai trò Bên kiểm soát dữ liệu
- Không thu thập dữ liệu nhạy cảm trừ khi có cơ sở pháp lý
- Xử lý yêu cầu về quyền dữ liệu từ khách truy cập theo quy định
EZOL không chịu trách nhiệm về cách bạn thu thập, sử dụng hoặc chia sẻ Dữ liệu Form từ khách truy cập website của bạn.
13. Thay đổi Chính sách Bảo mật
Chúng tôi có thể cập nhật Chính sách Bảo mật này để phản ánh thay đổi trong hoạt động kinh doanh hoặc yêu cầu pháp luật. Khi có thay đổi quan trọng:
- Chúng tôi sẽ thông báo qua email đăng ký
- Hiển thị thông báo trên giao diện Admin Panel
- Cập nhật ngày "Cập nhật lần cuối" tại đầu trang này
- Đối với thay đổi ảnh hưởng đến quyền của bạn, chúng tôi sẽ yêu cầu xác nhận lại sự đồng ý
14. Liên hệ về bảo mật
Nếu bạn có câu hỏi, yêu cầu hoặc khiếu nại liên quan đến Chính sách Bảo mật này hoặc cách chúng tôi xử lý dữ liệu cá nhân, vui lòng liên hệ:
Nếu bạn không hài lòng với phản hồi của chúng tôi, bạn có quyền khiếu nại đến Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (Bộ Công an) theo quy định tại Nghị định 13/2023/NĐ-CP.