Chính sách bảo mật

Chính sách này áp dụng cho mọi thông tin cá nhân mà GBPSmart (sản phẩm của Umix Vietnam) thu thập, lưu trữ và xử lý từ khách hàng sử dụng dịch vụ tại gbpsmart.umix.vn và các nền tảng liên quan.

GBPSmart cam kết tuân thủ Nghị định 13/2023/NĐ-CP của Chính phủ về bảo vệ dữ liệu cá nhân và các tiêu chuẩn quốc tế GDPR.

Để cung cấp Dịch vụ, GBPSmart thu thập các loại thông tin sau:

• Thông tin tài khoản: họ tên, email, số điện thoại, mật khẩu (mã hóa Argon2id).
• Thông tin doanh nghiệp: tên công ty, mã số thuế, địa chỉ, email xuất hóa đơn.
• Thông tin Google Business Profile: được người dùng tự kết nối qua OAuth Google.
• Thông tin thanh toán: lịch sử giao dịch (KHÔNG lưu thông tin thẻ — xử lý qua VNPay/MoMo).
• Dữ liệu sử dụng: log truy cập, hành vi trên dashboard, thiết bị, địa chỉ IP, trình duyệt.
• Cookies & tracking: phục vụ đăng nhập, phân tích trải nghiệm, đo lường hiệu quả.

Dữ liệu được sử dụng để:

• Cung cấp, vận hành và cải thiện chất lượng Dịch vụ.
• Xử lý thanh toán, xuất hóa đơn VAT theo quy định pháp luật.
• Gửi thông báo về tài khoản, hóa đơn, cập nhật tính năng quan trọng.
• Hỗ trợ khách hàng qua email/hotline/chat.
• Gửi email marketing (chỉ khi bạn đồng ý — có thể opt-out bất cứ lúc nào).
• Phân tích thống kê tổng thể (đã ẩn danh) để cải thiện sản phẩm.
• Tuân thủ yêu cầu của cơ quan nhà nước có thẩm quyền.

Việc xử lý dữ liệu cá nhân của bạn dựa trên một trong các cơ sở sau:

• Sự đồng ý của bạn khi đăng ký tài khoản hoặc tick chọn các checkbox đồng ý.
• Thực hiện hợp đồng cung cấp Dịch vụ (Điều khoản sử dụng).
• Tuân thủ nghĩa vụ pháp lý (xuất hóa đơn, lưu hồ sơ kế toán, báo cáo cơ quan thuế).
• Lợi ích hợp pháp của GBPSmart (bảo mật, chống gian lận, cải thiện sản phẩm).

GBPSmart KHÔNG bán dữ liệu cá nhân của bạn cho bất kỳ bên thứ ba nào.

Chúng tôi có thể chia sẻ thông tin trong các trường hợp giới hạn sau:

• Google: để kết nối API Google Business Profile theo OAuth — quyền hạn do bạn cấp.
• Nhà cung cấp thanh toán: VNPay, MoMo, SePay xử lý giao dịch (không lưu thông tin thẻ tại GBPSmart).
• Nhà cung cấp hạ tầng: AWS/Vercel (data center tại Singapore với cam kết SOC 2).
• Nhà cung cấp AI: OpenAI, Anthropic — chỉ gửi nội dung cần thiết để xử lý request AI, không kèm thông tin nhận dạng.
• Cơ quan nhà nước: khi có yêu cầu hợp pháp bằng văn bản (lệnh khám xét, yêu cầu thuế...).

GBPSmart áp dụng các biện pháp bảo mật cấp doanh nghiệp:

• Mã hóa: AES-256-GCM cho dữ liệu nhạy cảm khi lưu trữ; TLS 1.3 cho truyền tải.
• Mật khẩu: Argon2id (KHÔNG thể đảo ngược) với salt riêng cho mỗi user.
• Phân quyền: RBAC chi tiết theo workspace + audit log mọi hành động.
• Backup hàng ngày, lưu giữ 30 ngày tại data center riêng biệt.
• Pen-test định kỳ 6 tháng/lần bởi bên thứ ba độc lập.
• Đào tạo bảo mật cho nhân sự hàng quý.

Dữ liệu cá nhân được lưu trữ trong thời gian bạn còn sử dụng Dịch vụ và:

• Sau khi hủy tài khoản: lưu thêm 30 ngày để khôi phục nếu bạn đổi ý, sau đó xóa vĩnh viễn.
• Hóa đơn VAT, giao dịch tài chính: lưu 10 năm theo Luật Kế toán Việt Nam.
• Audit log: lưu 12 tháng để điều tra sự cố bảo mật.
• Email opt-out: lưu vô thời hạn để tôn trọng lựa chọn của bạn.

Theo Nghị định 13/2023/NĐ-CP, bạn có các quyền sau với dữ liệu cá nhân của mình:

• Quyền truy cập: xem toàn bộ dữ liệu chúng tôi lưu về bạn.
• Quyền chỉnh sửa: sửa thông tin sai/lỗi thời.
• Quyền xóa: yêu cầu xóa hoàn toàn (trừ dữ liệu pháp lý cần lưu).
• Quyền hạn chế xử lý: yêu cầu tạm ngưng xử lý dữ liệu của bạn.
• Quyền portability: xuất dữ liệu của bạn dưới dạng file JSON/CSV.
• Quyền phản đối: phản đối việc xử lý cho mục đích marketing.
• Quyền rút lại sự đồng ý: bất cứ lúc nào, qua trang Cài đặt tài khoản.

GBPSmart sử dụng cookies để cung cấp trải nghiệm tốt hơn:

• Cookies thiết yếu: phục vụ đăng nhập, lưu phiên — không thể tắt.
• Cookies phân tích: Google Analytics (đã ẩn danh IP) — có thể tắt qua trình duyệt.
• Cookies marketing: Facebook Pixel (chỉ áp dụng người chưa đăng ký) — có thể tắt.

Dịch vụ GBPSmart không nhắm tới người dùng dưới 18 tuổi. Nếu bạn dưới 18, vui lòng có sự đồng ý của người giám hộ hợp pháp trước khi đăng ký.

Nếu chúng tôi phát hiện đã thu thập dữ liệu của người dưới 18 không có sự đồng ý của người giám hộ, dữ liệu sẽ được xóa ngay lập tức.

GBPSmart có thể cập nhật Chính sách này theo thời gian. Mọi thay đổi quan trọng sẽ được thông báo qua email cho người dùng đang hoạt động trước ít nhất 30 ngày.

Phiên bản hiện tại có hiệu lực từ ngày 01/05/2026.

Để thực hiện các quyền của bạn hoặc khiếu nại về việc xử lý dữ liệu, vui lòng liên hệ:

Email: privacy@gbpsmart.vn (xử lý trong 72 giờ)

Hotline: 1900 6868

Địa chỉ: Tầng 12 Toà nhà TNR, 180 Nguyễn Công Trứ, Q.1, TP.HCM

Người phụ trách bảo vệ dữ liệu (DPO): privacy-dpo@gbpsmart.vn