Chính sách bảo mật

Webchốt (webchot.com) là studio thiết kế web Next.js solo founder vận hành tại Việt Nam. Liên hệ: hi@webchot.com · 0905 151 701 · 262/1/93 Phan Anh, Phú Thạnh, TP.HCM.

• Thông tin liên hệ bạn cung cấp khi điền form (họ tên, email, số điện thoại, nội dung yêu cầu). Chỉ dùng để phản hồi báo giá.
• Dữ liệu đăng nhập nếu bạn dùng tài khoản (email, mật khẩu mã hoá hoặc magic-link). Lưu encrypted, không chia sẻ.
• Dữ liệu phân tích ẩn danh: trình duyệt, thiết bị, trang đã xem, thời gian. Thu qua Google Analytics 4 — không liên kết với danh tính cá nhân của bạn.
• Cookies kỹ thuật: chế độ sáng/tối (`wt_theme`), ngôn ngữ (`webchot-lang`), giỏ hàng. Local trên trình duyệt, không gửi server.

• Dữ liệu sinh trắc học (vân tay, khuôn mặt, giọng nói)
• Vị trí GPS chính xác
• Tin nhắn SMS, danh bạ, lịch
• Dữ liệu thẻ tín dụng (thanh toán qua bên thứ 3 — VietQR, MoMo)

Chúng tôi dùng các dịch vụ chuẩn ngành, đều ký hợp đồng xử lý dữ liệu phù hợp:

• Cloudflare (CDN, DDoS protection) — xử lý IP request, không lưu nội dung
• Resend.com (gửi email transactional) — chỉ dùng email + nội dung mail bạn nhận
• Google Analytics 4 (phân tích traffic ẩn danh) — IP anonymized, không cookie 3rd party
• Vultr (hosting VPS) — lưu file static + database không chứa thông tin cá nhân
• Namecheap (forward email hi@webchot.com) — chỉ địa chỉ email forward

Theo luật bảo vệ dữ liệu Việt Nam (Nghị định 13/2023/NĐ-CP) và GDPR, bạn có quyền:

• Truy cập: yêu cầu bản copy dữ liệu của bạn
• Sửa đổi: cập nhật thông tin sai
• Xoá: yêu cầu xoá tài khoản + dữ liệu liên quan
• Phản đối: dừng nhận email marketing bất kỳ lúc nào (link unsubscribe trong mỗi email)
• Khiếu nại: với cơ quan có thẩm quyền nếu chúng tôi xử lý sai

Yêu cầu thực hiện quyền: gửi email hi@webchot.com — phản hồi trong 7 ngày làm việc.

• Lead form (chưa thành khách): 6 tháng → tự xoá
• Khách hàng đã ký hợp đồng: trong thời gian bảo hành 12 tháng + 5 năm cho mục đích kế toán
• Analytics data: 14 tháng (cài đặt mặc định GA4) → ẩn danh + tổng hợp

Webchot dùng cookies thiết yếu (theme, lang, cart) và analytics (GA4). Bạn có thể tắt cookies trong trình duyệt — site vẫn hoạt động bình thường, chỉ một số preference reset về mặc định.

Dịch vụ Webchốt phục vụ doanh nghiệp + cá nhân từ 16 tuổi trở lên. Chúng tôi không cố ý thu thập dữ liệu của trẻ dưới 16. Nếu phát hiện, chúng tôi sẽ xoá ngay.

Khi cập nhật chính sách, chúng tôi đăng version mới với ngày update ở đầu trang. Thay đổi quan trọng sẽ được thông báo qua email cho khách hàng đã đăng ký.

Khi khách hàng đăng ký ERP Webchốt (erp.webchot.com), Webchốt đóng vai trò Bên xử lý dữ liệu (Data Processor) theo NĐ 13/2023 Đ.5. Khách hàng (chủ hộ kinh doanh) là Bên kiểm soát dữ liệu (Data Controller), chịu trách nhiệm với đối tượng dữ liệu cuối cùng.

Các loại dữ liệu ERP xử lý thay khách (lưu trong workspace riêng của từng khách):

• Hộ kinh doanh: tên cửa hàng, MST, họ tên chủ hộ, địa chỉ, số điện thoại, ngành nghề
• Khách hàng của khách: họ tên, số điện thoại, email, địa chỉ, lịch sử mua hàng
• Nhân viên của khách: họ tên, CCCD, mức lương, BHXH, thuế TNCN
• Giao dịch tài chính: số tiền, loại giao dịch, danh mục thuế (taxCategory), thời điểm phát sinh, ghi chú, link chứng từ
• Sản phẩm + tồn kho: tên hàng, mã SKU, giá bán, số lượng tồn, giá vốn
• Tích hợp sàn TMĐT (Shopee/Lazada/TikTok/Tiki): access token API, đơn hàng đồng bộ từ sàn
• Sao kê ngân hàng: chỉ dữ liệu giao dịch để refresh, KHÔNG lưu password ngân hàng của khách

Mỗi workspace được cách ly cấp dòng (row-level isolation) trong cùng một database PostgreSQL — workspace A tuyệt đối không thể truy vấn dữ liệu workspace B, kể cả khi vô tình lộ ID workspace.

Webchốt áp dụng các biện pháp bảo mật chuẩn ngành cho ERP:

• Mã hóa khi lưu trữ (at rest): PostgreSQL native + backup Cloudflare R2 mã hóa GPG (AES-256)
• Mã hóa khi truyền (in transit): TLS 1.2 trở lên cho mọi kết nối (Cloudflare front + nginx + Let's Encrypt)
• Xác thực đăng nhập: Magic-link gửi qua Resend hoặc password băm bcrypt cost 11
• Quản lý phiên (session): NextAuth JWT có chữ ký, secure cookie, hết hạn sau 7 ngày
• Audit log: 100% thao tác thay đổi dữ liệu (mutations) đều ghi lại userId + workspaceId + diff trước-sau
• Giới hạn tần suất (rate limit): 30 request/phút cho ghi sổ giọng nói, 60 request/phút cho mutations
• Backup 3-2-1: R2 daily mã hóa (3 bản, FIFO ring) + Mac mini weekly snapshot + git source code
• Cảnh báo hóa đơn điện tử: tự động thông báo khách khi doanh thu vượt 1 tỷ đồng để chuẩn bị áp dụng HĐĐT theo NĐ 70/2025/NĐ-CP
• AI server-side: tất cả tính năng AI (Voice ghi sổ, OCR hóa đơn, AI Advisor) gọi qua API server-side, không bao giờ lộ tên vendor ra UI khách, và dữ liệu khách không được dùng để huấn luyện model

Khách hàng (Data Controller — chủ hộ kinh doanh) có các quyền sau:

• Xuất toàn bộ dữ liệu Excel/CSV bất kỳ lúc nào — không khóa khách (no vendor lock-in)
• Yêu cầu xóa workspace + dữ liệu trong vòng 30 ngày kể từ ngày Webchốt nhận yêu cầu hợp lệ (backup encrypted vẫn giữ thêm 5 năm theo Luật Kế toán 2015 Đ.41, sau đó hủy vĩnh viễn không phục hồi được)
• Yêu cầu báo cáo danh sách các bên thứ 3 đã xử lý dữ liệu (sub-processors) tại bất kỳ thời điểm nào
• Phản đối / hạn chế một số mục đích xử lý (ví dụ: tắt AI Advisor cho workspace nếu không muốn dữ liệu đi qua AI server-side)

Đối tượng dữ liệu cuối (khách hàng của khách, nhân viên, đối tác) có các quyền sau — thực hiện thông qua khách hàng (Data Controller), theo NĐ 13/2023 Đ.9-15:

• Yêu cầu xem/sửa dữ liệu cá nhân của mình lưu trong workspace
• Yêu cầu xóa dữ liệu (trừ trường hợp việc xóa vi phạm nghĩa vụ lưu trữ chứng từ kế toán 5 năm theo Luật Kế toán 2015)
• Phản đối việc xử lý dữ liệu cho mục đích marketing trực tiếp

Thông báo sự cố rò rỉ dữ liệu (data breach): Webchốt cam kết thông báo cho khách hàng bị ảnh hưởng trong vòng 72 giờ kể từ khi phát hiện sự cố, qua email hi@webchot.com, và báo cáo cơ quan có thẩm quyền (Bộ Công an) khi vượt ngưỡng theo NĐ 13/2023 Đ.20.

Quy trình khiếu nại: nếu khách không hài lòng với cách Webchốt xử lý dữ liệu, vui lòng gửi email hi@webchot.com (phản hồi trong 7 ngày làm việc). Trường hợp không thỏa thuận được, khách có quyền khiếu nại lên Cục An toàn thông tin (Bộ Thông tin và Truyền thông) hoặc Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05 - Bộ Công an).