Chính sách bảo mật

Cách Vpost thu thập, sử dụng và bảo vệ dữ liệu của bạn — viết bằng ngôn ngữ dễ hiểu cho chủ shop Việt Nam.

1. Giới thiệu

Vpost ("chúng tôi", "Dịch vụ") là công cụ tự động tạo và đăng bài Facebook dành cho chủ shop nhỏ tại Việt Nam, được vận hành bởi Nguyễn Phan Đặc Thắng (cá nhân) tại địa chỉ web vpost.vn.

Chính sách này áp dụng cho mọi người dùng truy cập vpost.vn hoặc các domain phụ. Khi anh/chị đăng ký và sử dụng Vpost, anh/chị đồng ý với cách xử lý dữ liệu mô tả trong tài liệu này.

2. Dữ liệu Vpost thu thập

2.1. Dữ liệu anh/chị cung cấp trực tiếp

Thông tin tài khoản: email hoặc số điện thoại, mật khẩu (lưu dạng hash bcrypt, không bao giờ lưu plain text).
Hồ sơ shop: tên shop, ngành nghề, ảnh đại diện, ảnh bìa, mô tả ngắn.
Nội dung bài đăng: caption do anh/chị nhập hoặc do AI tạo, ảnh/video upload, lịch đăng.
Thông tin thanh toán: khi nâng cấp gói trả phí, ảnh hóa đơn chuyển khoản (sẽ xóa sau 90 ngày).

2.2. Dữ liệu Vpost tự động thu thập

Log truy cập: địa chỉ IP, loại trình duyệt, thời gian truy cập (giữ tối đa 30 ngày để phòng chống lạm dụng).
Hạn ngạch sử dụng: số lượt tạo caption AI, số bài đăng mỗi ngày để áp dụng giới hạn gói.

2.3. Dữ liệu KHÔNG thu thập

Vpost không thu thập danh bạ, vị trí GPS chính xác, micro, camera ngoài tính năng upload ảnh chủ động.
Vpost không bán dữ liệu cho bên thứ ba.
Vpost không sử dụng caption/ảnh của anh/chị để huấn luyện mô hình AI riêng.

3. Mục đích sử dụng dữ liệu

Cung cấp dịch vụ tạo caption AI, đăng bài tự động và quản lý lịch đăng.
Quản lý tài khoản, xác thực đăng nhập, gửi email/sms thông báo quan trọng.
Cải thiện chất lượng dịch vụ thông qua thống kê tổng hợp (không định danh cá nhân).
Phòng chống gian lận, spam và lạm dụng API.
Tuân thủ nghĩa vụ pháp lý khi cơ quan có thẩm quyền yêu cầu hợp lệ.

4. Chia sẻ với bên thứ ba

Vpost chỉ chia sẻ dữ liệu với các nhà cung cấp hạ tầng cần thiết để vận hành dịch vụ. Các bên này đã ký cam kết bảo mật theo chuẩn quốc tế:

Supabase Inc. (Hoa Kỳ) — lưu trữ database PostgreSQL, ảnh, file. Có chứng chỉ SOC 2 Type II. Chính sách Supabase.
Anthropic PBC (Hoa Kỳ) — cung cấp mô hình AI Claude để tạo caption. Chính sách Anthropic.
Render Services Inc. (Hoa Kỳ) — hosting trang web. Chính sách Render.
Twilio Inc. (Hoa Kỳ) — gửi SMS xác thực đăng nhập qua số điện thoại Việt Nam (nếu anh/chị chọn đăng nhập bằng SĐT). Chính sách Twilio.
Meta Platforms Inc. — khi anh/chị kết nối Facebook Page để đăng bài tự động (tùy chọn, xem mục 5).

Dữ liệu của anh/chị được lưu tại các trung tâm dữ liệu ở Singapore (gần Việt Nam nhất) hoặc Hoa Kỳ tùy nhà cung cấp. Việc chuyển dữ liệu xuyên biên giới này tuân thủ các điều khoản bảo vệ dữ liệu tiêu chuẩn (Standard Contractual Clauses).

5. Dữ liệu Facebook

Khi anh/chị kết nối tài khoản Facebook để Vpost đăng bài tự động lên Page, Vpost sẽ yêu cầu các quyền tối thiểu cần thiết qua giao thức OAuth chính thức của Meta:

pages_show_list — danh sách Page anh/chị quản lý.
pages_manage_posts — đăng bài lên Page do anh/chị chọn.
pages_read_engagement — đọc số like/comment để hiển thị thống kê tương tác.

Vpost chỉ dùng các quyền này để thực hiện đúng tính năng anh/chị đã chủ động kích hoạt. Vpost không:

Đăng bài lên Page mà anh/chị chưa đồng ý kết nối.
Đọc tin nhắn riêng (Messenger inbox).
Xem danh sách bạn bè cá nhân của anh/chị.
Đăng bài lên timeline cá nhân của anh/chị.

Anh/chị có thể ngắt kết nối Facebook bất cứ lúc nào tại trang Cài đặt → Kết nối → Facebook, hoặc xóa app Vpost khỏi Facebook tại facebook.com/settings → Business Integrations. Khi anh/chị ngắt kết nối, access token sẽ bị thu hồi ngay lập tức và bị xóa khỏi database Vpost trong vòng 24 giờ.

6. Sử dụng AI (Anthropic Claude)

Caption do AI tạo được sinh ra bởi mô hình Claude Haiku 4.5 của Anthropic. Khi anh/chị bấm "Tạo bài AI":

Vpost gửi tới Anthropic: chủ đề ngày, tone (vui/sang/sale...), tên shop, ngành nghề, mô tả gợi ý anh/chị nhập.
Vpost không gửi: email, mật khẩu, số điện thoại, danh sách khách hàng, ảnh khách.
Theo chính sách của Anthropic, nội dung gửi qua API không được dùng để huấn luyện mô hình và bị xóa trong 30 ngày.

7. Lưu trữ và bảo mật

Mật khẩu được hash bằng bcrypt với salt riêng cho mỗi user — Vpost không thể xem được mật khẩu của anh/chị.
Toàn bộ kết nối từ trình duyệt tới Vpost đi qua HTTPS/TLS 1.3.
Database áp dụng Row Level Security (RLS) của PostgreSQL — anh/chị chỉ truy cập được dữ liệu của chính mình, không thấy dữ liệu shop khác.
Access token Facebook được mã hóa AES-256 trước khi lưu vào database.
Backup database tự động hàng ngày, giữ 7 ngày gần nhất.

Dù Vpost áp dụng các biện pháp bảo mật tiêu chuẩn ngành, không có hệ thống Internet nào tuyệt đối an toàn 100%. Nếu xảy ra sự cố rò rỉ dữ liệu, Vpost sẽ thông báo cho người bị ảnh hưởng trong vòng 72 giờ qua email.

8. Quyền của bạn

Theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (Việt Nam), anh/chị có các quyền sau:

Quyền truy cập: yêu cầu xem toàn bộ dữ liệu Vpost đang lưu về anh/chị.
Quyền chỉnh sửa: sửa thông tin sai trong trang Cài đặt, hoặc gửi yêu cầu cho admin.
Quyền xóa ("quyền được lãng quên"): yêu cầu xóa toàn bộ tài khoản và dữ liệu liên quan.
Quyền hạn chế xử lý: tạm dừng dịch vụ trong khi vẫn giữ tài khoản.
Quyền chuyển đổi dữ liệu: yêu cầu xuất dữ liệu của anh/chị dưới định dạng JSON/CSV.
Quyền khiếu nại: gửi khiếu nại tới Cục An toàn thông tin (Bộ TT&TT) nếu cho rằng Vpost vi phạm.

Để thực hiện các quyền trên, gửi email tới nguyenphandacthang@gmail.com với tiêu đề "[GDPR] Yêu cầu ...". Vpost sẽ phản hồi trong tối đa 30 ngày.

9. Xóa tài khoản và dữ liệu

Anh/chị có thể xóa tài khoản theo 1 trong 2 cách:

Cách 1 (khuyến nghị): vào trang Xóa dữ liệu → đăng nhập → bấm "Xóa tài khoản vĩnh viễn".
Cách 2: gửi email tới nguyenphandacthang@gmail.com từ chính email đã đăng ký, với tiêu đề "Yêu cầu xóa tài khoản Vpost".

Khi nhận yêu cầu, Vpost sẽ xóa: hồ sơ shop, toàn bộ bài đăng, ảnh upload, access token FB, lịch sử caption. Quy trình hoàn tất trong tối đa 7 ngày làm việc. Một số log kỹ thuật (IP, thời gian truy cập) có thể được giữ thêm tối đa 30 ngày để phục vụ điều tra lạm dụng theo yêu cầu pháp lý.

Vpost dùng localStorage (không phải cookie tracking) để lưu:

Phiên đăng nhập (Supabase session token) — tự xóa khi đăng xuất.
Tùy chọn giao diện (theme, tone caption mặc định).

Vpost không dùng cookie quảng cáo, không nhúng Google Analytics, không nhúng pixel Facebook tracking.

11. Trẻ em dưới 16 tuổi

Vpost dành cho người trên 16 tuổi đang kinh doanh hợp pháp. Nếu phát hiện tài khoản do trẻ em dưới 16 tạo, Vpost sẽ xóa tài khoản ngay khi được thông báo.

12. Thay đổi chính sách

Khi có thay đổi quan trọng (thêm bên thứ ba mới, mở rộng dữ liệu thu thập), Vpost sẽ:

Cập nhật ngày "Cập nhật lần cuối" ở đầu trang.
Gửi email thông báo cho mọi user đang hoạt động ít nhất 14 ngày trước khi áp dụng.
Hiển thị thông báo trên app khi đăng nhập lần kế tiếp.

13. Liên hệ

Nguyễn Phan Đặc Thắng — chủ sở hữu & vận hành Vpost

📧 Email: nguyenphandacthang@gmail.com

📱 Zalo / SĐT: 0789.434.345

🌐 Website: vpost.vn

Nếu anh/chị có bất kỳ câu hỏi nào về chính sách này hoặc cách Vpost xử lý dữ liệu của anh/chị, hãy gửi email — chúng tôi cam kết phản hồi trong vòng 72 giờ.