Tocky.vn — Gia phả số an toàn bền vững
Đăng ký
Trang chủChính sách bảo mật

Chính sách bảo mật

Tocky.vn cam kết bảo vệ dữ liệu cá nhân của bạn theo Nghị định 13/2023/NĐ-CP về Bảo vệ dữ liệu cá nhân và các tiêu chuẩn quốc tế.

Cập nhật lần cuối: 08/06/2026

Tóm tắt cam kết

  • ✅ Server đặt tại Việt Nam, tuân thủ luật Việt Nam
  • ✅ Dữ liệu mã hóa AES-256 khi lưu, TLS 1.3 khi truyền
  • ✅ Mật khẩu hash bcrypt 12 rounds — chúng tôi không biết mật khẩu của bạn
  • ✅ KHÔNG bán, KHÔNG chia sẻ dữ liệu cho mục đích thương mại
  • ✅ KHÔNG quảng cáo dựa trên dữ liệu của bạn
  • ✅ Bạn có thể xuất hoặc xóa toàn bộ dữ liệu bất cứ lúc nào

1. Dữ liệu chúng tôi thu thập

1.1. Dữ liệu bạn cung cấp

  • Đăng ký: email, mật khẩu (đã hash), họ tên
  • Đăng nhập OAuth (Google/Facebook): tên, email, ảnh đại diện do bạn ủy quyền cấp
  • Hồ sơ: số điện thoại, địa chỉ, ngày sinh (tùy chọn)
  • Nội dung gia phả: thông tin thành viên, ảnh, ghi chú, sự kiện
  • Liên hệ: nội dung email/tin nhắn bạn gửi cho hỗ trợ

1.2. Dữ liệu tự động thu thập

  • Kỹ thuật: địa chỉ IP, loại trình duyệt, thiết bị, hệ điều hành
  • Sử dụng: trang truy cập, thời gian truy cập, hành động (xem/thêm/sửa/xóa)
  • Cookie: xem chi tiết tại Chính sách cookie

2. Mục đích sử dụng

Chúng tôi chỉ sử dụng dữ liệu của bạn cho:

  • Cung cấp và vận hành Dịch vụ (đăng nhập, lưu trữ, hiển thị gia phả)
  • Gửi thông báo gia phả (giỗ, sinh nhật, lời mời)
  • Hỗ trợ kỹ thuật khi bạn liên hệ
  • Bảo mật: phát hiện đăng nhập lạ, chống lạm dụng
  • Cải thiện sản phẩm — chỉ trên dữ liệu thống kê tổng hợp, đã ẩn danh

Chúng tôi KHÔNG dùng dữ liệu của bạn để:

  • Bán cho bên thứ ba (data broker, advertiser)
  • Hiển thị quảng cáo cá nhân hóa
  • Xây dựng hồ sơ hành vi để bán

3. Cơ sở pháp lý xử lý dữ liệu

  • Sự đồng ý: bạn đồng ý khi đăng ký tài khoản
  • Thực hiện hợp đồng: để cung cấp Dịch vụ bạn yêu cầu
  • Lợi ích chính đáng: bảo mật hệ thống, chống lạm dụng
  • Tuân thủ pháp luật: khi cơ quan có thẩm quyền yêu cầu hợp pháp

4. Chúng tôi chia sẻ dữ liệu với ai?

Trong gia phả của bạn: chỉ những người bạn chủ động mời với quyền cụ thể.

Bên thứ ba xử lý kỹ thuật: chỉ giới hạn trong phạm vi cần thiết:

  • Nhà cung cấp hạ tầng: đặt server, băng thông tại Việt Nam
  • SMTP gửi email: chỉ địa chỉ email + nội dung email Tocky gửi cho bạn (vd Mailgun, Sendgrid)
  • OAuth providers (Google, Facebook): nhận thông tin xác thực bạn ủy quyền

Tất cả bên thứ ba đều ký hợp đồng bảo mật (DPA) và chỉ xử lý dữ liệu theo chỉ định của Tocky.

Cơ quan nhà nước: chỉ khi có yêu cầu hợp pháp bằng văn bản từ cơ quan có thẩm quyền.

5. Sử dụng dịch vụ AI bên thứ ba

Để hỗ trợ các tính năng AI (trò chuyện thêm thành viên, quét ảnh gia phả, gợi ý ghép nối, kể chuyện gia đình), Tocky gửi nội dung do bạn nhập (văn bản, ảnh) tới dịch vụ xử lý ngôn ngữ và thị giác máy tính của OpenAI thông qua máy chủ Tocky để xử lý và trả về kết quả cho bạn.

Dữ liệu được gửi đi:

  • Nội dung văn bản bạn nhập trong giao diện Chat AI
  • Ảnh bạn tải lên trong tính năng Quét ảnh gia phả / Quét bia mộ

Trước khi sử dụng các tính năng AI lần đầu, ứng dụng sẽ hiển thị thông báo yêu cầu bạn xác nhận đồng ý. Bạn có thể từ chối và tiếp tục sử dụng các tính năng khác của app.

Theo chính sách OpenAI dành cho API doanh nghiệp, dữ liệu chỉ được dùng để xử lý yêu cầu của bạn, không được sử dụng để huấn luyện mô hình và không bị chia sẻ với bên thứ ba khác cho mục đích quảng cáo. Chi tiết tại openai.com/enterprise-privacy.

6. Quyền của bạn (theo NĐ 13/2023)

Bạn có các quyền sau đối với dữ liệu cá nhân của mình:

  • Quyền được biết: nắm rõ dữ liệu nào được thu thập, dùng cho mục đích gì
  • Quyền đồng ý / từ chối: rút lại đồng ý bất cứ lúc nào
  • Quyền truy cập: xem toàn bộ dữ liệu Tocky đang lưu về bạn
  • Quyền chỉnh sửa: cập nhật thông tin sai/lỗi thời
  • Quyền xóa: xóa tài khoản và toàn bộ dữ liệu liên quan
  • Quyền hạn chế xử lý: yêu cầu tạm dừng xử lý dữ liệu
  • Quyền chuyển dữ liệu: xuất dữ liệu định dạng mở để chuyển sang dịch vụ khác
  • Quyền phản đối: phản đối việc xử lý dữ liệu cho mục đích nhất định
  • Quyền khiếu nại: khiếu nại tới Cục An toàn thông tin (Bộ TT&TT)

Hầu hết các quyền có thể thực hiện ngay trong Cài đặt → Bảo mật & Riêng tư. Cần hỗ trợ thêm: dpo@tocky.vn.

7. Biện pháp bảo mật kỹ thuật

  • Mã hóa AES-256-GCM cho dữ liệu nhạy cảm khi lưu trữ (at-rest)
  • Mã hóa TLS 1.3 cho mọi kết nối (in-transit)
  • Hash mật khẩu bằng bcrypt 12 rounds — không thể đảo ngược
  • JWT có TTL ngắn (1 ngày) + refresh token httpOnly cookie
  • Rate limiting chống brute-force (khóa 30 phút sau 5 lần sai)
  • Audit log mọi thao tác sửa/xóa — truy ngược 100% lịch sử
  • Backup tự động hàng ngày, giữ 30 ngày, mã hóa khi nghỉ
  • Phân quyền 4 cấp + tuân thủ nguyên tắc least-privilege
  • Đánh giá bảo mật định kỳ; vá lỗi nghiêm trọng trong 24h

8. Thời gian lưu trữ

  • Tài khoản đang dùng: giữ vô thời hạn cho đến khi bạn yêu cầu xóa
  • Tài khoản không hoạt động trên 24 tháng: sẽ gửi email cảnh báo trước, sau đó xóa
  • Sau khi xóa tài khoản: dữ liệu trong backup giữ tối đa 30 ngày rồi xóa hoàn toàn
  • Log kỹ thuật: giữ 90 ngày phục vụ debug và chống lạm dụng
  • Hóa đơn / chứng từ thanh toán: giữ 10 năm theo Luật Kế toán Việt Nam

9. Cookie

Chúng tôi dùng cookie kỹ thuật cần thiết và một ít cookie phân tích ẩn danh. Không có cookie quảng cáo, không tracker bên thứ ba. Chi tiết tại Chính sách cookie.

10. Trẻ em dưới 16 tuổi

Tocky không nhắm tới người dùng dưới 13 tuổi. Người từ 13–16 tuổi cần có sự đồng ý của cha mẹ/người giám hộ trước khi đăng ký. Nếu phát hiện dữ liệu của trẻ em được thu thập mà không có sự đồng ý hợp lệ, vui lòng liên hệ để chúng tôi xóa ngay.

11. Chuyển dữ liệu ra nước ngoài

Toàn bộ dữ liệu chính của bạn lưu tại server đặt ở Việt Nam. Một số dịch vụ phụ trợ (vd: Google OAuth, gửi email từ máy chủ Cloudflare) có thể tạm thời truyền dữ liệu ra nước ngoài. Trong các trường hợp này, chúng tôi áp dụng cơ chế bảo vệ phù hợp theo NĐ 13/2023.

12. Liên hệ — DPO (Cán bộ bảo vệ dữ liệu)

Mọi thắc mắc, yêu cầu thực hiện quyền, hoặc khiếu nại:

  • Email DPO: dpo@tocky.vn
  • Email hỗ trợ: hotro@tocky.vn
  • Phản hồi tối đa: 30 ngày làm việc kể từ khi nhận yêu cầu

Nếu không hài lòng với cách Tocky xử lý, bạn có quyền khiếu nại tới Cục An toàn thông tin — Bộ Thông tin và Truyền thông.