🔒 Chính sách Quyền riêng tư

1. Dữ liệu chúng tôi thu thập

VShield thu thập các loại dữ liệu tối thiểu cần thiết để vận hành dịch vụ bảo vệ cộng đồng:

• Số điện thoại — Được hash SHA-256 ngay trên thiết bị trước khi gửi lên server. Chúng tôi không lưu số gốc
• Tài khoản ngân hàng — Tương tự, chỉ lưu dạng hash một chiều không thể giải mã
• URL — Được lưu để phân tích pattern lừa đảo, có thể chứa thông tin domain
• Thông tin đăng nhập — Số điện thoại (hash) + JWT token. Không lưu mật khẩu
• Dữ liệu kỹ thuật — IP address, user-agent, thời gian truy cập (dùng cho rate limiting và bảo mật)

2. Cách chúng tôi sử dụng dữ liệu

Dữ liệu thu thập được sử dụng với các mục đích cụ thể sau:

• Xác minh và tra cứu thông tin lừa đảo trong cơ sở dữ liệu cộng đồng
• Cải thiện độ chính xác của Trust Score và mô hình AI phát hiện lừa đảo
• Thống kê ẩn danh (anonymized) để nâng cao chất lượng dịch vụ
• Gửi thông báo bảo mật quan trọng đến người dùng (nếu được đồng ý)
• Phát hiện và ngăn chặn hành vi lạm dụng hệ thống (spam, scraping)

3. Bảo mật dữ liệu

VShield áp dụng nhiều lớp bảo mật để bảo vệ dữ liệu người dùng:

• Mã hóa SHA-256 cho tất cả dữ liệu nhạy cảm trước khi lưu trữ
• HTTPS/TLS 1.3 cho toàn bộ giao tiếp client-server
• JWT Access Token hết hạn sau 15 phút, Refresh Token được lưu trữ an toàn
• Rate limiting nghiêm ngặt để chống DDoS và brute-force
• Xác thực hai yếu tố (TOTP 2FA) khả dụng cho tất cả tài khoản
• Tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân của Chính phủ Việt Nam

4. Chia sẻ dữ liệu với bên thứ ba

VShield không bán dữ liệu người dùng cho bất kỳ bên thứ ba nào. Chúng tôi chỉ chia sẻ dữ liệu trong các trường hợp bắt buộc:

• Theo yêu cầu hợp pháp của cơ quan pháp luật Việt Nam có thẩm quyền
• Bảo vệ quyền lợi hợp pháp của VShield trước hành vi gian lận hoặc tấn công
• Với nhà cung cấp dịch vụ hạ tầng (Supabase, Render, Vercel) — theo NDA và chính sách bảo mật riêng

5. Quyền của người dùng

Theo Nghị định 13/2023/NĐ-CP, bạn có các quyền sau đối với dữ liệu cá nhân:

• Quyền xem — Truy cập và xem toàn bộ dữ liệu cá nhân được lưu trữ
• Quyền xuất — Tải về bản sao dữ liệu cá nhân ở định dạng JSON (GDPR Export)
• Quyền xóa — Xóa tài khoản và toàn bộ dữ liệu liên quan (soft-delete 30 ngày, sau đó xóa vĩnh viễn)
• Quyền từ chối — Tắt nhận thông báo marketing hoặc email quảng cáo
• Quyền khiếu nại — Báo cáo việc sử dụng dữ liệu không đúng mục đích

6. Cookie và theo dõi

VShield sử dụng cookie ở mức tối thiểu cần thiết:

• Cookie phiên (session) — Duy trì trạng thái đăng nhập, hết hạn khi đóng trình duyệt
• LocalStorage — Lưu JWT token, theme preference, locale. Không chứa dữ liệu cá nhân
• Không sử dụng cookie theo dõi hành vi, quảng cáo, hoặc analytics bên thứ ba
• Không sử dụng Google Analytics, Facebook Pixel, hoặc bất kỳ tracking script nào

7. Lưu giữ dữ liệu

Chính sách lưu giữ dữ liệu của VShield:

• Dữ liệu báo cáo lừa đảo — Lưu trữ tối đa 24 tháng kể từ ngày tạo
• Lịch sử tra cứu — Lưu tối đa 90 ngày, sau đó tự động xóa
• Tài khoản không hoạt động — Xóa tự động sau 12 tháng không đăng nhập
• Dữ liệu đã xóa — Được purge hoàn toàn khỏi backup sau 30 ngày

8. Bảo vệ trẻ em

VShield không cố ý thu thập dữ liệu từ trẻ em dưới 16 tuổi. Nếu phát hiện tài khoản của trẻ em dưới 16 tuổi, chúng tôi sẽ xóa tài khoản và dữ liệu liên quan ngay lập tức.

9. Liên hệ

Mọi thắc mắc, yêu cầu hoặc khiếu nại về quyền riêng tư, vui lòng liên hệ qua email: privacy@vshield.vn. Chúng tôi cam kết phản hồi trong vòng 48 giờ làm việc.