Chính sách Bảo mật COSMATE

2. Dữ liệu chúng tôi thu thập

Chúng tôi chỉ thu thập dữ liệu tối thiểu cần thiết để cung cấp dịch vụ:

• Thông tin tài khoản: email, họ tên, ảnh đại diện
• Thông tin workspace: tên công ty, website URL, ngành nghề, brand voice
• Nội dung do AI tạo: bài viết, hình ảnh, dữ liệu SEO, atomized content cho social
• Kết nối bên ngoài: URL blog, Google Search Console OAuth tokens, WordPress App Password (mã hóa AES-256 trước khi lưu)
• Tích hợp social/notification: Zalo OA tokens, Slack webhook, Telegram bot token, Upload-Post API key (mã hóa pgsodium)
• Dữ liệu sử dụng: số bài viết tạo, chi phí AI, thời gian xử lý, log pipeline
• Dữ liệu thanh toán: thông tin giao dịch SePay (chúng tôi KHÔNG lưu số tài khoản ngân hàng)

3. Mục đích sử dụng dữ liệu

• Cung cấp, duy trì và cải thiện dịch vụ COSMATE
• Theo dõi quota sử dụng, tính phí và hỗ trợ thanh toán
• Gửi thông báo về dịch vụ qua email (có thể tắt trong Settings)
• Phòng chống gian lận, lạm dụng API, đảm bảo an toàn hệ thống
• KHÔNG bán dữ liệu cá nhân cho bên thứ ba
• KHÔNG dùng nội dung bạn tạo để huấn luyện mô hình AI

4. Lưu trữ và bảo mật dữ liệu

• Database: Supabase (PostgreSQL 16, AWS Singapore) — mã hóa khi lưu trữ và truyền tải
• API keys, OAuth tokens: mã hóa AES-256 (pgsodium) trước khi lưu vào database
• Truyền tải: HTTPS/TLS 1.3 cho tất cả kết nối
• Row Level Security (RLS): dữ liệu mỗi workspace hoàn toàn tách biệt ở tầng database
• Backup: daily snapshot, retention 7 ngày

5. Dịch vụ bên thứ ba

Để cung cấp dịch vụ, COSMATE chia sẻ một phần dữ liệu cần thiết với các nhà cung cấp sau. Mỗi nhà cung cấp có chính sách bảo mật riêng và đều cam kết không sử dụng dữ liệu để huấn luyện AI.

Nội dung bạn tạo được gửi tới các dịch vụ AI để xử lý nhưng không được lưu trữ lâu dài bởi họ sau khi xử lý xong.

6. Thời gian lưu trữ dữ liệu

• Dữ liệu tài khoản & nội dung: lưu trữ trong thời gian bạn duy trì tài khoản, tối đa 24 tháng kể từ lần đăng nhập cuối nếu tài khoản không hoạt động
• Log thanh toán: lưu tối thiểu 5 năm theo quy định kế toán Việt Nam
• Log hệ thống & Sentry: 30 ngày
• Khi bạn yêu cầu xóa tài khoản: dữ liệu cá nhân được xóa trong vòng 30 ngày, trừ phần buộc phải lưu theo luật

7. Quyền của người dùng (theo Nghị định 13/2023/NĐ-CP)

Theo quy định bảo vệ dữ liệu cá nhân tại Việt Nam (PDPD), bạn có các quyền sau:

• Quyền được biết: được thông báo về việc xử lý dữ liệu cá nhân của mình
• Quyền truy cập: xem toàn bộ dữ liệu của bạn trong dashboard COSMATE
• Quyền chỉnh sửa: cập nhật, sửa đổi thông tin cá nhân bất kỳ lúc nào
• Quyền xóa: yêu cầu xóa toàn bộ tài khoản và dữ liệu — gửi email tới hello@bizmatehub.com
• Quyền hạn chế xử lý: yêu cầu tạm dừng xử lý một phần dữ liệu
• Quyền chuyển dữ liệu: tải xuống nội dung và dữ liệu workspace bất cứ lúc nào (export JSON/CSV)
• Quyền phản đối: hủy đăng ký email marketing trong Settings
• Quyền khiếu nại: liên hệ Cục An toàn Thông tin nếu cho rằng quyền bị xâm phạm

8. Cookie & công nghệ theo dõi

COSMATE sử dụng cookie thiết yếu để duy trì phiên đăng nhập (cookie-based SSR qua Supabase). Chúng tôi cũng dùng Vercel Analytics để đo lường hiệu năng web — không thu thập dữ liệu cá nhân và không dùng cookie quảng cáo bên thứ ba.

9. Người dùng dưới 16 tuổi

COSMATE không chủ định cung cấp dịch vụ cho người dưới 16 tuổi. Nếu phát hiện tài khoản thuộc về người dưới 16, chúng tôi sẽ xóa tài khoản và dữ liệu liên quan.

10. Thay đổi chính sách

BizMate có quyền cập nhật chính sách này. Thay đổi quan trọng sẽ được thông báo qua email ít nhất 14 ngày trước khi có hiệu lực. Phiên bản mới nhất luôn được đăng tại trang này kèm ngày hiệu lực.