Trang chủ

Chính sách bảo mật

Hiệu lực từ: 01/06/2026 · Cập nhật lần cuối: 06/06/2026

SmartHome cam kết bảo vệ dữ liệu cá nhân của bạn theo Nghị định 13/2023/NĐ-CP của Chính phủ Việt Nam, Luật An ninh mạng và best practice quốc tế (tham chiếu GDPR). Tài liệu này giải thích chúng tôi thu thập gì, dùng làm gì, và bạn có quyền gì.

1. Giới thiệu

SmartHome ("chúng tôi") là bên kiểm soát dữ liệu (Data Controller) cho thông tin tài khoản chủ trọ và người thuê đăng ký trực tiếp với nền tảng. Đối với dữ liệu người thuê do chủ trọ nhập vào hệ thống, chủ trọ đóng vai trò Bên kiểm soát, chúng tôi đóng vai trò Bên xử lý (Data Processor) thay mặt chủ trọ.

Bằng việc sử dụng Dịch vụ, bạn đồng ý cho phép chúng tôi xử lý dữ liệu cá nhân theo Chính sách này.

2. Dữ liệu chúng tôi thu thập

2.1 Dữ liệu tài khoản chủ trọ / nhân viên

  • Họ tên, email, số điện thoại chính
  • Số điện thoại liên hệ phụ (Zalo, hotline) — nếu bạn cung cấp
  • Địa chỉ — nếu bạn cung cấp (tuỳ chọn)
  • Mã số thuế (MST) — nếu bạn là doanh nghiệp/hộ kinh doanh
  • Avatar / ảnh đại diện — nếu bạn upload
  • Thông tin ngân hàng nhận thanh toán (tên ngân hàng, số tài khoản, ảnh QR)
  • Mật khẩu — lưu dưới dạng băm bcrypt, KHÔNG bao giờ lưu plaintext, không truy xuất được ngược lại

2.2 Dữ liệu tài khoản người thuê

  • Số điện thoại (xác thực qua Firebase OTP)
  • Họ tên
  • Email — nếu cung cấp (tuỳ chọn)
  • FCM device token — để gửi push notification

2.3 Dữ liệu nghiệp vụ do chủ trọ nhập (về người thuê)

Khi chủ trọ tạo hồ sơ người thuê trong CRM, các trường sau có thể được nhập:

  • Họ tên, ngày sinh, số CCCD/CMND, nghề nghiệp
  • Số điện thoại, email, địa chỉ thường trú
  • Thông tin hợp đồng: ngày bắt đầu, kết thúc, giá thuê
  • Lịch sử hoá đơn, thanh toán
  • Hợp đồng PDF, ảnh CCCD scan (nếu chủ trọ upload)

⚠️ Số CCCD là dữ liệu cá nhân nhạy cảm theo Nghị định 13. Chủ trọ phải có sự đồng ý của người thuê trước khi nhập. Chúng tôi mã hoá at-rest và giới hạn truy cập chỉ chủ trọ + nhân viên được phân quyền.

2.4 Dữ liệu kỹ thuật tự động thu thập

  • Địa chỉ IP, user agent (trình duyệt, hệ điều hành) — phục vụ bảo mật và audit log
  • Thời điểm đăng nhập, đăng xuất, hành động quan trọng (tạo/sửa/xoá) — lưu trong audit log
  • Dữ liệu định vị tương đối: chỉ thành phố/khu vực từ IP, KHÔNG GPS chính xác (trừ khi tenant chủ động cấp quyền cho app)
  • Crash report, performance metric — qua Vercel Analytics (không có thông tin cá nhân)

2.5 Dữ liệu thanh toán

  • Lịch sử giao dịch (số tiền, ngày, trạng thái) — lưu để đối soát
  • Thông tin chuyển khoản từ webhook SePay (mã giao dịch ngân hàng, nội dung chuyển khoản)
  • ⚠️ KHÔNG lưu trữ số thẻ tín dụng / mã CVV — mọi giao dịch thẻ (nếu có) đều qua cổng PCI DSS của bên thứ ba

3. Mục đích xử lý

Chúng tôi xử lý dữ liệu cho các mục đích sau:

  • Vận hành Dịch vụ: tạo tài khoản, xác thực, lưu trữ và hiển thị dữ liệu nghiệp vụ của bạn
  • Giao dịch và đối soát: sinh hoá đơn, ghi nhận thanh toán, đối soát qua SePay
  • Truyền thông: gửi email/SMS/push/Zalo về hoá đơn, sự cố bảo mật, cập nhật Dịch vụ
  • Cải thiện sản phẩm: phân tích tổng hợp (anonymized aggregate) để tối ưu UX
  • Tuân thủ pháp luật: lưu hồ sơ theo Luật Kế toán, Luật Thuế, yêu cầu hợp pháp từ cơ quan nhà nước
  • Bảo mật: phát hiện gian lận, truy cập trái phép, audit log
  • Marketing: gửi thông tin sản phẩm mới (CHỈ khi bạn không opt-out — bạn có thể tắt trong Cài đặt → Thông báo)

4. Cơ sở pháp lý

Chúng tôi xử lý dữ liệu dựa trên một hoặc nhiều cơ sở:

  • Sự đồng ý của bạn (cho marketing, thông báo không-bắt-buộc);
  • Thực hiện hợp đồng giữa bạn và chúng tôi (vận hành Dịch vụ bạn đã đăng ký);
  • Nghĩa vụ pháp lý theo Luật Kế toán, Luật Thuế, Nghị định 52/2013/NĐ-CP về thương mại điện tử;
  • Lợi ích hợp pháp của chúng tôi (bảo mật, chống gian lận) — cân bằng với quyền của bạn.

5. Chia sẻ dữ liệu

Chúng tôi KHÔNG bán dữ liệu cá nhân cho bên thứ ba. Dữ liệu chỉ được chia sẻ với:

5.1 Nhà cung cấp dịch vụ kỹ thuật

Nhà cung cấpMục đíchDữ liệu chia sẻ
Google (Firebase)Xác thực OTP qua SMS, push notification FCMSố điện thoại, FCM token
SePaySinh QR thanh toán, đối soát chuyển khoảnMã hoá đơn, số tiền, mã giao dịch
Zalo OA (VNG)Gửi tin nhắn nhắc thanh toánSố điện thoại, nội dung template
ResendGửi email giao dịch (xác minh, hoá đơn)Email, tên
Vercel / RailwayHosting hạ tầngToàn bộ dữ liệu nền tảng (mã hoá at-rest)

Tất cả nhà cung cấp đều có thoả thuận xử lý dữ liệu (DPA) với cam kết bảo mật và chỉ xử lý theo chỉ thị của chúng tôi.

5.2 Cơ quan nhà nước

Khi có yêu cầu hợp pháp từ cơ quan có thẩm quyền (lệnh khám xét, công văn từ cơ quan thuế, công an), chúng tôi sẽ cung cấp đúng phạm vi yêu cầu và thông báo cho bạn trừ khi pháp luật cấm.

5.3 Chuyển nhượng doanh nghiệp

Trong trường hợp M&A hoặc tái cấu trúc, dữ liệu có thể được chuyển cho bên kế thừa với cam kết tuân thủ Chính sách này. Bạn sẽ được thông báo trước tối thiểu 30 ngày và có quyền xoá tài khoản nếu không đồng ý.

6. Lưu trữ và bảo mật

  • Mã hoá: toàn bộ kết nối HTTPS/TLS 1.2+; mật khẩu hash bằng bcrypt; dữ liệu nhạy cảm (CCCD) mã hoá at-rest
  • Kiểm soát truy cập: nguyên tắc least-privilege; RBAC cho nhân viên chủ trọ; log mọi truy cập
  • Backup: hàng ngày, lưu 30 ngày, mã hoá, lưu tại khu vực khác
  • Pentest: định kỳ kiểm tra bảo mật bên thứ ba (kế hoạch năm)
  • Vị trí lưu trữ: data center khu vực Đông Nam Á (Singapore), tuân thủ yêu cầu về địa lý của Nghị định 53/2022/NĐ-CP

7. Thời gian lưu trữ

Loại dữ liệuThời hạn lưu
Dữ liệu tài khoản (active)Cho đến khi bạn xoá tài khoản
Sau khi xoá tài khoản30 ngày grace period, sau đó xoá vĩnh viễn
Hoá đơn, chứng từ kế toán10 năm (theo Luật Kế toán)
Audit log2 năm
Backup30 ngày luân chuyển
Cookies kỹ thuậtPhiên / 30 ngày tuỳ loại

8. Quyền của bạn

Theo Nghị định 13/2023/NĐ-CP, bạn có các quyền sau với dữ liệu cá nhân của mình:

  • Quyền được biết: biết dữ liệu nào của bạn đang được xử lý;
  • Quyền truy cập: xem và xuất bản sao dữ liệu — Cài đặt → Xuất dữ liệu;
  • Quyền chỉnh sửa: cập nhật thông tin không chính xác — Cài đặt → Thông tin cá nhân;
  • Quyền xoá: xoá tài khoản và dữ liệu cá nhân — Cài đặt → Vùng nguy hiểm → Xoá tài khoản;
  • Quyền hạn chế: yêu cầu dừng xử lý dữ liệu cho mục đích cụ thể (vd: marketing) — Cài đặt → Thông báo;
  • Quyền phản đối: phản đối việc xử lý dựa trên lợi ích hợp pháp;
  • Quyền khiếu nại: khiếu nại lên Cục An toàn thông tin (Bộ TT&TT) nếu cho rằng quyền của mình bị xâm phạm.

Để thực hiện quyền không hỗ trợ tự động qua UI, gửi yêu cầu về privacy@smarthome.vn — chúng tôi phản hồi trong 30 ngày.

9. Cookies và công nghệ tương tự

Chúng tôi sử dụng cookies cho:

  • Cookies bắt buộc: duy trì phiên đăng nhập (JWT), giữ trạng thái UI (theme, ngôn ngữ) — KHÔNG thể tắt
  • Cookies hiệu suất: đo lường tốc độ trang qua Vercel Analytics — anonymous
  • Cookies marketing: KHÔNG sử dụng

Chi tiết: Chính sách Cookies

10. Trẻ em dưới 16 tuổi

Dịch vụ KHÔNG dành cho người dưới 16 tuổi. Chúng tôi không cố ý thu thập dữ liệu của trẻ em. Nếu phát hiện đã thu thập nhầm, chúng tôi sẽ xoá ngay. Cha mẹ phát hiện con mình đã cung cấp dữ liệu, vui lòng liên hệ privacy@smarthome.vn.

11. Chuyển dữ liệu xuyên biên giới

Một số nhà cung cấp (Google, Vercel) lưu trữ dữ liệu tại máy chủ ngoài Việt Nam. Chúng tôi đảm bảo:

  • Bản sao dữ liệu chính được lưu tại Singapore (vùng pháp lý tương thích);
  • Có thoả thuận xử lý dữ liệu với điều khoản chuẩn EU SCC hoặc tương đương;
  • Tuân thủ Nghị định 53/2022 về lưu trữ dữ liệu tại VN cho các dữ liệu thuộc danh mục bắt buộc.

12. Thông báo sự cố bảo mật

Trong trường hợp xảy ra sự cố làm lộ dữ liệu cá nhân, chúng tôi sẽ:

  • Thông báo Cục An toàn thông tin trong vòng 72 giờ kể từ khi phát hiện (theo Nghị định 13);
  • Thông báo người bị ảnh hưởng qua email + in-app banner trong vòng 72 giờ;
  • Công bố báo cáo chi tiết sự cố và biện pháp khắc phục trên trang Hỗ trợ.

13. Thay đổi chính sách

Phiên bản mới sẽ được công bố tại trang này với ngày hiệu lực mới. Thay đổi vật chất (ảnh hưởng quyền của bạn) được thông báo trước tối thiểu 30 ngày qua email.

14. Liên hệ — Cán bộ Bảo vệ Dữ liệu (DPO)

Mọi yêu cầu, khiếu nại, hoặc câu hỏi về quyền riêng tư:

Chúng tôi phản hồi trong tối đa 30 ngày làm việc.