Chính sách Bảo mật

01. Giới thiệu

BeePay (“chúng tôi”) cam kết bảo vệ dữ liệu cá nhân của người dùng (“bạn”). Chính sách này mô tả cách chúng tôi thu thập, sử dụng, lưu trữ và bảo vệ thông tin khi bạn sử dụng dịch vụ tại beepay.vn và các ứng dụng liên quan.

Chính sách được xây dựng phù hợp với Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân của Việt Nam.

02. Dữ liệu chúng tôi thu thập

Khi bạn đăng ký tài khoản:

• Họ tên, email, số điện thoại
• Mật khẩu (đã được băm bcrypt, không lưu dạng plain text)
• Thông tin doanh nghiệp (tên cửa hàng, website) — tùy chọn

Khi bạn sử dụng dịch vụ:

• Nội dung SMS / notification ngân hàng bạn gửi lên qua app BeePay
• Thông tin giao dịch: số tiền, mã tham chiếu, mô tả, thời gian, ngân hàng
• URL webhook, header, payload template do bạn cấu hình
• Log hệ thống: IP, user-agent, thời điểm request
• Thông tin thiết bị: device_id, model điện thoại, phiên bản Android/iOS, phiên bản app

Dữ liệu chúng tôi KHÔNG thu thập:

• Mật khẩu đăng nhập ngân hàng của bạn
• Số thẻ tín dụng, CVV, mã PIN
• Dữ liệu sinh trắc học (vân tay, Face ID)
• Nội dung tin nhắn không liên quan đến ngân hàng

03. Mục đích sử dụng dữ liệu

Chúng tôi sử dụng dữ liệu để:

• Vận hành dịch vụ: parse giao dịch, gửi webhook, hiển thị dashboard
• Xác thực tài khoản và bảo mật (phát hiện truy cập bất thường)
• Hỗ trợ khách hàng khi bạn liên hệ
• Cải thiện parser ngân hàng (phân tích thống kê, không đọc nội dung cá nhân)
• Gửi email giao dịch, thông báo gia hạn, cập nhật tính năng quan trọng
• Tuân thủ nghĩa vụ pháp lý (thuế, cung cấp khi có yêu cầu từ cơ quan chức năng)

04. Chia sẻ với bên thứ ba

Chúng tôi không bán, không trao đổi, không cho thuê thông tin cá nhân của bạn. Chỉ chia sẻ trong các trường hợp:

• Nhà cung cấp hạ tầng: Vultr (VPS), Cloudflare (CDN), SendGrid (email) — đã ký thoả thuận DPA
• Webhook URL của bạn: BeePay gửi dữ liệu giao dịch đến endpoint bạn cấu hình — đó là mục đích chính của dịch vụ
• Cơ quan có thẩm quyền: khi có yêu cầu hợp pháp bằng văn bản từ Toà án, Viện kiểm sát, Công an
• Sáp nhập / chuyển nhượng: nếu BeePay được mua lại, dữ liệu sẽ được chuyển giao — bạn sẽ được thông báo 30 ngày trước

05. Lưu trữ & bảo mật

• Vị trí: Server tại khu vực ASEAN. Backup lưu trữ tại Việt Nam
• Mã hoá: HTTPS/TLS 1.3 cho mọi kết nối; AES-256 cho api_key, webhook_secret khi lưu DB
• Cô lập: Dữ liệu mỗi user được phân vùng theo user_id; không user nào truy cập được DB của user khác
• Thời gian lưu: Giao dịch theo gói (30 ngày / 90 ngày / không giới hạn); log hệ thống 90 ngày; backup 12 tháng
• Xoá tài khoản: 30 ngày sau khi yêu cầu, mọi dữ liệu cá nhân bị xoá vĩnh viễn khỏi DB và backup

06. Cookie & tracking

Website beepay.vn sử dụng cookie tối thiểu:

• Cookie thiết yếu (luôn bật): session login, CSRF token
• Cookie tuỳ chọn: theme (light/dark), ngôn ngữ
• Không sử dụng: Facebook Pixel, Google Analytics, retargeting ads

07. Quyền của người dùng

Theo Nghị định 13/2023, bạn có các quyền sau:

• Quyền biết: được thông báo khi dữ liệu của bạn được xử lý
• Quyền đồng ý / rút lại: đồng ý / rút lại đồng ý cho xử lý dữ liệu
• Quyền truy cập: xem dữ liệu đã được lưu
• Quyền chỉnh sửa: cập nhật thông tin sai lệch
• Quyền xoá: yêu cầu xoá dữ liệu cá nhân
• Quyền di chuyển: tải dữ liệu dạng JSON/CSV
• Quyền phản đối: khiếu nại khi cho rằng bị xử lý sai quy định

Để thực hiện các quyền trên, liên hệ info@beepay.vn — chúng tôi phản hồi trong 72 giờ.

08. Trẻ em dưới 16 tuổi

BeePay không dành cho người dưới 16 tuổi. Chúng tôi không cố ý thu thập dữ liệu từ trẻ em. Nếu phát hiện, tài khoản sẽ bị xoá ngay lập tức. Phụ huynh nếu phát hiện con em đăng ký, vui lòng liên hệ để xoá.

09. Chuyển dữ liệu quốc tế

Một số dữ liệu có thể được xử lý bởi server ở Singapore (nhà cung cấp Vultr) do lý do hiệu năng. Chúng tôi đảm bảo:

• Quốc gia lưu trữ có luật bảo vệ dữ liệu tương đương Việt Nam
• Có thoả thuận DPA với nhà cung cấp cam kết bảo mật
• Backup định kỳ về Việt Nam theo quy định

10. Thay đổi chính sách

Chính sách này có thể được cập nhật để phản ánh thay đổi trong dịch vụ hoặc pháp luật. Mọi thay đổi quan trọng sẽ được thông báo qua email và banner trên website tối thiểu 15 ngày trước khi có hiệu lực. Nếu không đồng ý, bạn có thể huỷ tài khoản trước ngày đó.