Chính sách Quyền riêng tư

Chính sách Quyền riêng tư này (sau đây gọi là “Chính sách”) mô tả cách Công ty TNHH Nomit Việt Nam (sau đây gọi là “Nomit”, “chúng tôi”) thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ dữ liệu cá nhân của bạn khi bạn sử dụng nền tảng thẻ số Nomit tại tên miền nomit.app và các ứng dụng, dịch vụ liên quan (sau đây gọi chung là “Dịch vụ”).

Chúng tôi đóng vai trò là Bên Kiểm soát dữ liệu cá nhân theo định nghĩa tại Nghị định số 13/2023/NĐ-CP ngày 17/4/2023 của Chính phủ về Bảo vệ dữ liệu cá nhân, đồng thời tuân thủ Luật An ninh mạng 2018, Luật Giao dịch điện tử 2023, Luật Bảo vệ quyền lợi người tiêu dùng 2023 và Quy định bảo vệ dữ liệu chung của Liên minh Châu Âu (GDPR – Regulation (EU) 2016/679) đối với người dùng tại EU/EEA.

Theo Điều 2 Nghị định 13/2023/NĐ-CP, dữ liệu cá nhân được phân thành dữ liệu cơ bản và dữ liệu nhạy cảm. Nomit chỉ thu thập tối thiểu dữ liệu cần thiết để cung cấp Dịch vụ.

Chúng tôi chỉ xử lý dữ liệu cá nhân khi có một trong các căn cứ pháp lý sau:

• Sự đồng ý của bạn (Điều 11 Nghị định 13/2023/NĐ-CP; Điều 6(1)(a) GDPR) đối với hoạt động tiếp thị, gửi bản tin và sử dụng cookie không thiết yếu.
• Thực hiện hợp đồng với bạn (Điều 17(1)(b) Nghị định 13; Điều 6(1)(b) GDPR) để cung cấp Dịch vụ: tạo tài khoản, phát hành thẻ, chia sẻ thẻ.
• Nghĩa vụ pháp lý (Điều 17(1)(c) Nghị định 13; Điều 6(1)(c) GDPR) như lưu hóa đơn, hợp tác với cơ quan nhà nước có thẩm quyền.
• Lợi ích hợp pháp của Nomit (Điều 6(1)(f) GDPR) trong việc bảo đảm an ninh, ngăn chặn gian lận, đo lường hiệu năng – sau khi cân nhắc với quyền của bạn.
• Bảo vệ tính mạng, sức khỏe trong trường hợp khẩn cấp (Điều 17(1)(a) Nghị định 13).

Các mục đích cụ thể bao gồm:

• Đăng ký, xác thực và quản lý tài khoản, cấp Trust Level (0–5).
• Tạo, phát hành, lưu trữ, chia sẻ và quản lý các thẻ số.
• Liên hệ hỗ trợ, gửi thông báo giao dịch và cập nhật chính sách.
• Phát hiện gian lận, lạm dụng, vi phạm điều khoản và xử lý tranh chấp.
• Tuân thủ yêu cầu của cơ quan nhà nước có thẩm quyền theo pháp luật.
• Cải thiện sản phẩm bằng dữ liệu thống kê đã được ẩn danh hóa.

Chúng tôi không bán dữ liệu cá nhân. Dữ liệu chỉ được chia sẻ trong các trường hợp:

• Bên xử lý dữ liệu được Nomit chỉ định (data processor) theo Điều 39 Nghị định 13/2023/NĐ-CP, bao gồm: Supabase Inc. (cơ sở dữ liệu, lưu trữ tệp, xác thực), Vercel Inc. (lưu trữ ứng dụng và CDN), Cloudflare Inc. (DNS, bảo vệ DDoS), Google LLC (đăng nhập OAuth), nhà cung cấp email giao dịch. Các bên này bị ràng buộc bằng hợp đồng xử lý dữ liệu (DPA) và Điều khoản Tiêu chuẩn (SCC) khi áp dụng.
• Người nhận thẻ: khi bạn chia sẻ thẻ qua liên kết công khai /u/[username] hoặc /c/[cardId], các thông tin trên thẻ sẽ công khai theo cài đặt của bạn.
• Cơ quan nhà nước có thẩm quyền khi có yêu cầu hợp lệ bằng văn bản theo pháp luật Việt Nam (Bộ Công an – A05, Tòa án, Viện Kiểm sát).
• Bên kế nhiệm trong trường hợp sáp nhập, mua bán, tái cơ cấu, với sự thông báo trước cho bạn.

Một số nhà cung cấp hạ tầng của chúng tôi đặt máy chủ ngoài lãnh thổ Việt Nam (Singapore, Hoa Kỳ, EU). Việc chuyển dữ liệu xuyên biên giới được thực hiện theo Điều 25 Nghị định 13/2023/NĐ-CP với đầy đủ hồ sơ đánh giá tác động (Transfer Impact Assessment – TIA) và công cụ pháp lý phù hợp như SCC của Ủy ban Châu Âu. Bạn có quyền yêu cầu xem hồ sơ đánh giá này bằng cách liên hệ privacy@nomit.app.

• Dữ liệu tài khoản: trong suốt thời gian bạn duy trì tài khoản.
• Sau khi bạn xóa tài khoản: tối đa 90 ngày để hoàn tất quy trình xóa kỹ thuật.
• Dữ liệu hóa đơn, giao dịch tài chính: tối thiểu 10 năm theo Luật Kế toán 2015.
• Nhật ký an ninh, log hệ thống: 24 tháng phục vụ điều tra sự cố an ninh mạng theo Luật An ninh mạng 2018.
• Dữ liệu ẩn danh hóa: có thể được lưu vô thời hạn cho mục đích thống kê.

Theo Điều 9 Nghị định 13/2023/NĐ-CP và GDPR, bạn có các quyền sau đối với dữ liệu cá nhân của mình:

• Quyền được biết: được thông báo về hoạt động xử lý dữ liệu cá nhân.
• Quyền đồng ý / rút lại sự đồng ý bất kỳ lúc nào mà không ảnh hưởng đến tính hợp pháp của việc xử lý đã thực hiện trước đó.
• Quyền truy cập: yêu cầu cung cấp bản sao dữ liệu cá nhân chúng tôi đang xử lý.
• Quyền chỉnh sửa dữ liệu không chính xác hoặc không đầy đủ.
• Quyền xóa dữ liệu (quyền được lãng quên) trừ trường hợp pháp luật yêu cầu lưu trữ.
• Quyền hạn chế xử lý dữ liệu trong khi yêu cầu của bạn đang được xem xét.
• Quyền yêu cầu cung cấp dữ liệu ở định dạng có cấu trúc, phổ biến và chuyển sang Bên Kiểm soát dữ liệu khác (data portability).
• Quyền phản đối việc xử lý dữ liệu vì mục đích tiếp thị hoặc dựa trên lợi ích hợp pháp.
• Quyền khiếu nại, tố cáo, khởi kiện theo quy định pháp luật.
• Quyền yêu cầu bồi thường thiệt hại khi quyền lợi bị xâm phạm.
• Quyền tự bảo vệ theo Điều 9 Nghị định 13/2023/NĐ-CP và Bộ luật Dân sự.

Để thực hiện các quyền trên, gửi yêu cầu tới privacy@nomit.app. Chúng tôi sẽ phản hồi trong vòng 72 giờ và xử lý dứt điểm trong tối đa 30 ngày. Người dùng tại EU/EEA có thể khiếu nại với cơ quan bảo vệ dữ liệu quốc gia của mình.

Nomit áp dụng các biện pháp kỹ thuật và tổ chức phù hợp với mức độ rủi ro, tham chiếu khung kiểm soát của ISO/IEC 27001:2022, SOC 2 Type II, OWASP ASVS 4.0 và NIST CSF 2.0:

• Mã hóa dữ liệu khi truyền (TLS 1.3) và khi lưu trữ (AES-256).
• Mật khẩu được băm bằng thuật toán mạnh (bcrypt/argon2) với salt ngẫu nhiên, không lưu mật khẩu gốc.
• Phân quyền truy cập theo nguyên tắc đặc quyền tối thiểu (least privilege) và Row Level Security (RLS) ở tầng cơ sở dữ liệu.
• Đa yếu tố xác thực (MFA) bắt buộc cho mọi tài khoản quản trị nội bộ.
• Nhật ký truy cập, giám sát bất thường 24/7, cảnh báo xâm nhập (IDS) và bảo vệ DDoS qua Cloudflare.
• Sao lưu dữ liệu hàng ngày, kiểm thử khôi phục thảm họa định kỳ.
• Đánh giá lỗ hổng định kỳ, kiểm thử xâm nhập (penetration test) hằng năm bởi bên thứ ba độc lập.
• Đào tạo nhận thức an toàn thông tin cho toàn bộ nhân viên.

Dù áp dụng các biện pháp tốt nhất, không hệ thống nào tuyệt đối an toàn. Bạn có trách nhiệm bảo vệ thông tin đăng nhập của mình.

Trong trường hợp xảy ra vi phạm dữ liệu cá nhân có khả năng gây thiệt hại, Nomit sẽ thông báo cho Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao – A05) trong vòng 72 giờ kể từ khi phát hiện theo Điều 23 Nghị định 13/2023/NĐ-CP, và thông báo cho bạn nếu vi phạm có khả năng tạo ra rủi ro cao đối với quyền và lợi ích hợp pháp.

Chúng tôi sử dụng các loại cookie sau:

• Cookie thiết yếu: duy trì phiên đăng nhập, chống tấn công CSRF — không cần đồng ý.
• Cookie tùy chọn: ghi nhớ chủ đề giao diện, ngôn ngữ — không cần đồng ý.
• Cookie phân tích: đo lường ẩn danh hóa lưu lượng truy cập — chỉ kích hoạt khi bạn đồng ý.

Bạn có thể quản lý cookie qua cài đặt trình duyệt hoặc trang Cài đặt tài khoản.

Chúng tôi có thể cập nhật Chính sách này. Mọi thay đổi quan trọng sẽ được thông báo qua email và/hoặc thông báo trong ứng dụng ít nhất 15 ngày trước khi có hiệu lực. Phiên bản mới nhất luôn được công bố tại trang này.

Mọi câu hỏi, yêu cầu hoặc khiếu nại liên quan đến dữ liệu cá nhân, vui lòng liên hệ:

• Bên Kiểm soát dữ liệu: Công ty TNHH Nomit Việt Nam.
• Cán bộ Bảo vệ dữ liệu (DPO): privacy@nomit.app.
• Hỗ trợ chung: support@nomit.app.
• Cơ quan giám sát Việt Nam: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) – Bộ Công an.