Chính sách
Chính sách Quyền riêng tư
Chính sách Quyền riêng tư này giải thích cách Công ty Cổ phần CyStack Việt Nam và các đơn vị liên kết ("CyStack," "chúng tôi") thu thập, sử dụng, lưu trữ và chia sẻ dữ liệu cá nhân khi bạn truy cập các trang web, nền tảng và dịch vụ của chúng tôi (gọi chung là "Dịch vụ").
Khi sử dụng Dịch vụ, bạn xác nhận đã đọc và hiểu Chính sách này. Nếu bạn không đồng ý với bất kỳ nội dung nào, vui lòng ngừng sử dụng Dịch vụ. Các thuật ngữ viết hoa chưa được định nghĩa tại đây có nghĩa như quy định trong [Điều khoản Sử dụng](https://cystack.net/vi/terms-of-service).
## 1. Phạm vi áp dụng
Chính sách này áp dụng cho toàn bộ sản phẩm và dịch vụ của CyStack, bao gồm:
- **CyStack Platform** - cystack.net và các bảng điều khiển quản trị liên quan
- **Locker Password Manager** - locker.io
- **CyStack Endpoint** - bảo vệ thiết bị đầu cuối và chống thất thoát dữ liệu (DLP)
- **WhiteHub** - nền tảng Bug Bounty và công bố lỗ hổng
- **CyStack VulnScan** - quét lỗ hổng tự động
- **Data Leak Detection** - giám sát lộ lọt thông tin đăng nhập và dữ liệu
- **Dịch vụ chuyên nghiệp** - kiểm thử xâm nhập (pentest), red teaming, đánh giá hạ tầng và blockchain, SOC, DFIR, quản lý lỗ hổng và đào tạo bảo mật
Khi một sản phẩm cụ thể có quy trình xử lý dữ liệu riêng, các quy trình đó được mô tả tại Mục 4 của Chính sách này.
## 2. Dữ liệu chúng tôi thu thập
### 2.1 Thông tin bạn cung cấp
<table style="border-collapse: collapse; width: 100%;">
<thead>
<tr>
<th style="border: 1px solid #333; padding: 10px; text-align: left;">Loại dữ liệu</th>
<th style="border: 1px solid #333; padding: 10px; text-align: left;">Ví dụ</th>
<th style="border: 1px solid #333; padding: 10px; text-align: left;">Thời điểm thu thập</th>
</tr>
</thead>
<tbody>
<tr>
<td style="border: 1px solid #333; padding: 8px;">Thông tin tài khoản</td>
<td style="border: 1px solid #333; padding: 8px;">Họ tên, email, số điện thoại</td>
<td style="border: 1px solid #333; padding: 8px;">Đăng ký, tạo tài khoản</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 8px;">Thông tin thanh toán</td>
<td style="border: 1px solid #333; padding: 8px;">Tên công ty, địa chỉ thanh toán, mã số thuế</td>
<td style="border: 1px solid #333; padding: 8px;">Mua dịch vụ, đăng ký gói</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 8px;">Cấu hình dịch vụ</td>
<td style="border: 1px solid #333; padding: 8px;">Tên miền, địa chỉ IP, thông tin đăng nhập máy chủ</td>
<td style="border: 1px solid #333; padding: 8px;">Triển khai dịch vụ hoặc đánh giá bảo mật</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 8px;">Trao đổi liên lạc</td>
<td style="border: 1px solid #333; padding: 8px;">Yêu cầu hỗ trợ, email, tin nhắn, phản hồi</td>
<td style="border: 1px solid #333; padding: 8px;">Khi bạn liên hệ với chúng tôi</td>
</tr>
<tr>
<td style="border: 1px solid #333; padding: 8px;">Báo cáo lỗ hổng</td>
<td style="border: 1px solid #333; padding: 8px;">Nội dung báo cáo, tài liệu PoC, hồ sơ nhà nghiên cứu</td>
<td style="border: 1px solid #333; padding: 8px;">Gửi qua WhiteHub</td>
</tr>
</tbody>
</table>
**Lưu ý về thông tin đăng nhập:** Thông tin đăng nhập máy chủ được cung cấp cho các dự án đánh giá bảo mật chỉ được sử dụng trong phạm vi và thời hạn hợp đồng, và sẽ được xóa khi kết thúc dự án trừ khi có thỏa thuận khác bằng văn bản.
### 2.2 Thông tin thu thập tự động
- **Dữ liệu thiết bị và trình duyệt:** Hệ điều hành, loại và phiên bản trình duyệt, mã định danh thiết bị, địa chỉ IP. Dùng để bảo mật tài khoản, tối ưu dịch vụ và tuân thủ pháp luật (ví dụ: hiển thị thông báo theo khu vực dựa trên IP).
- **Dữ liệu sử dụng:** Các trang truy cập, tính năng sử dụng, mốc thời gian và hành vi tương tác. Dùng để cải thiện hiệu suất và trải nghiệm dịch vụ.
- **Cookie và công nghệ tương tự:** Chúng tôi sử dụng cookie thiết yếu cho chức năng cốt lõi, cookie phân tích (như Google Analytics) để đo lường hiệu suất, và cookie liên kết (affiliate) để theo dõi đối tác giới thiệu. Bạn có thể quản lý tùy chọn cookie qua cài đặt trình duyệt hoặc cơ chế đồng ý cookie trên website (nếu có).
### 2.3 Thông tin từ bên thứ ba
- **Đăng nhập qua mạng xã hội:** Nếu bạn xác thực qua Google, GitHub, Facebook hoặc nhà cung cấp tương tự, chúng tôi chỉ nhận thông tin hồ sơ công khai mặc định (thường là email và ảnh đại diện).
- **Đơn vị xử lý thanh toán:** Đối tác thanh toán cung cấp cho chúng tôi tên và địa chỉ thanh toán để xác minh tài khoản. CyStack không lưu trữ số thẻ thanh toán trên hệ thống.
- **Nhà cung cấp phân tích:** Chúng tôi nhận dữ liệu sử dụng tổng hợp và ẩn danh hóa từ các dịch vụ phân tích để giám sát hiệu suất ứng dụng.
## 3. Mục đích sử dụng dữ liệu
Chúng tôi xử lý dữ liệu cá nhân cho các mục đích sau:
- **Cung cấp dịch vụ:** Vận hành, duy trì và cải thiện Dịch vụ mà bạn đã đăng ký hoặc yêu cầu.
- **Quản lý tài khoản:** Tạo và quản lý tài khoản, xác minh danh tính, xử lý giao dịch.
- **Bảo mật:** Phát hiện, ngăn chặn và ứng phó gian lận, lạm dụng, mối đe dọa bảo mật và sự cố kỹ thuật.
- **Liên lạc:** Gửi thông báo liên quan đến dịch vụ, phản hồi yêu cầu và hỗ trợ khách hàng.
- **Cải thiện sản phẩm:** Phân tích dữ liệu sử dụng tổng hợp để nâng cao chức năng, khả năng sử dụng và hiệu suất.
- **Tuân thủ pháp luật:** Thực hiện các nghĩa vụ theo quy định pháp luật hiện hành.
- **Tiếp thị:** Gửi thông tin cập nhật sản phẩm, cảnh báo bảo mật và nội dung quảng bá - chỉ khi có sự đồng ý của bạn hoặc theo quy định pháp luật cho phép. Bạn có thể hủy đăng ký bất cứ lúc nào qua liên kết hủy trong email. Chúng tôi sẽ xử lý yêu cầu hủy trong vòng 7 ngày làm việc.
## 4. Quy trình xử lý dữ liệu theo từng sản phẩm
### 4.1 Locker Password Manager
- Locker sử dụng kiến trúc mã hóa đầu cuối theo mô hình zero-knowledge. Dữ liệu vault của bạn - bao gồm mật khẩu, ghi chú bảo mật, thẻ thanh toán và các mục khác - được mã hóa ngay trên thiết bị bằng khóa dẫn xuất từ Master Password trước khi truyền đến máy chủ.
- **CyStack không có khả năng truy cập Master Password hoặc dữ liệu vault ở dạng giải mã.** Nếu bạn mất Master Password, chúng tôi không thể khôi phục vault.
- Dữ liệu CyStack có thể truy cập: email tài khoản, trạng thái đăng ký, metadata thiết bị và thống kê sử dụng tổng hợp (ví dụ: số lượng mục lưu trữ - không bao gồm nội dung).
### 4.2 CyStack Endpoint
CyStack Endpoint thu thập dữ liệu cấp thiết bị cần thiết cho chức năng bảo vệ endpoint và DLP, bao gồm mã định danh thiết bị, danh sách phần mềm cài đặt, log hoạt động file, metadata kết nối mạng và trạng thái tuân thủ chính sách. Phạm vi thu thập được giới hạn ở các chức năng bảo mật do quản trị viên tổ chức của bạn cấu hình, và chịu sự điều chỉnh bởi hợp đồng dịch vụ.
### 4.3 WhiteHub
Hồ sơ nhà nghiên cứu, báo cáo lỗ hổng, tài liệu PoC và lịch sử trao đổi được lưu trữ để vận hành nền tảng bug bounty. Tổ chức tham gia chương trình (program owner) có thể truy cập các báo cáo gửi đến chương trình của họ. Danh tính nhà nghiên cứu chỉ được chia sẻ với program owner khi có sự đồng ý của nhà nghiên cứu hoặc khi cần thiết để xử lý phần thưởng.
### 4.4 VulnScan & Data Leak Detection
Các dịch vụ này quét tài sản truy cập công khai và nguồn dữ liệu bên ngoài. Kết quả quét - bao gồm lỗ hổng phát hiện và thông tin đăng nhập bị lộ - được lưu trong tài khoản của bạn và chỉ người dùng được ủy quyền trong tổ chức mới có thể truy cập.
### 4.5 Dịch vụ chuyên sâu
Đối với pentest, red teaming, đánh giá bảo mật, DFIR, SOC và các dịch vụ liên quan, việc xử lý dữ liệu được điều chỉnh bởi hợp đồng dịch vụ riêng với tổ chức của bạn. Kết quả đánh giá và sản phẩm bàn giao chỉ được cung cấp cho tổ chức ký hợp đồng. Toàn bộ dữ liệu dự án được xóa khỏi hệ thống CyStack theo lịch trình lưu trữ đã thỏa thuận.
## 5. Chia sẻ dữ liệu
CyStack không bán, cho thuê hay trao đổi dữ liệu cá nhân của bạn.
Chúng tôi chỉ chia sẻ dữ liệu trong các trường hợp hạn chế sau:
- **Nhà cung cấp dịch vụ:** Với các bên thứ ba đáng tin cậy hỗ trợ vận hành Dịch vụ (hạ tầng đám mây, xử lý thanh toán, phân tích), ràng buộc bởi hợp đồng xử lý dữ liệu yêu cầu bảo vệ dữ liệu tương đương.
- **Trong tổ chức của bạn:** Đối với sản phẩm doanh nghiệp (CyStack Endpoint, WhiteHub), quản trị viên được ủy quyền trong tổ chức có thể truy cập dữ liệu dịch vụ như một phần chức năng sản phẩm.
- **Nghĩa vụ pháp lý:** Khi được yêu cầu bởi pháp luật, quy định, quyết định của tòa án hoặc cơ quan nhà nước có thẩm quyền.
- **Chuyển giao kinh doanh:** Trong trường hợp sáp nhập, mua lại hoặc bán tài sản, dữ liệu có thể được chuyển cho đơn vị kế thừa với các biện pháp bảo vệ quyền riêng tư tương đương. Chúng tôi sẽ thông báo trước khi việc chuyển giao có hiệu lực.
## 6. Thời hạn lưu trữ dữ liệu
Chúng tôi chỉ lưu trữ dữ liệu cá nhân trong thời gian cần thiết để thực hiện các mục đích mô tả trong Chính sách này:
- **Tài khoản đang hoạt động:** Dữ liệu được lưu trữ trong suốt thời gian tài khoản hoặc hợp đồng dịch vụ còn hiệu lực.
- **Sau khi xóa tài khoản:** Dữ liệu cá nhân được xóa hoặc ẩn danh hóa trong vòng 30 ngày, trừ trường hợp cần lưu giữ theo yêu cầu pháp luật về thuế, kế toán hoặc nghĩa vụ pháp lý khác.
- **Giới hạn chung:** Khi không có yêu cầu lưu trữ cụ thể, chúng tôi không giữ dữ liệu cá nhân quá hai (2) năm kể từ lần tương tác cuối cùng.
- **Dịch vụ chuyên sâu:** Dữ liệu dự án được lưu trữ theo lịch trình quy định trong từng hợp đồng dịch vụ.
## 7. Bảo mật dữ liệu
Chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu, bao gồm mã hóa khi truyền tải (TLS 1.2+) và khi lưu trữ (AES-256), kiểm soát truy cập theo nguyên tắc đặc quyền tối thiểu, đánh giá bảo mật nội bộ và bên ngoài định kỳ, cùng hệ thống giám sát liên tục với cảnh báo theo thời gian thực.
<br>Chi tiết về các biện pháp bảo mật được mô tả tại [trang Bảo mật](https://cystack.net/vi/security).
## 8. Chuyển dữ liệu xuyên biên giới
CyStack có trụ sở tại Việt Nam với văn phòng tại Canada, và sử dụng nhà cung cấp dịch vụ tại nhiều quốc gia. Khi dữ liệu cá nhân được chuyển ra ngoài phạm vi lãnh thổ của bạn, chúng tôi đảm bảo có các biện pháp bảo vệ phù hợp.
Đối với việc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, CyStack tuân thủ các quy định về chuyển dữ liệu xuyên biên giới theo Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) và Nghị định 356/2025/NĐ-CP, bao gồm thực hiện Đánh giá tác động xử lý dữ liệu cá nhân (DPIA), lập hồ sơ chuyển dữ liệu và gửi thông báo đến Bộ Công an theo quy định.
Đối với chuyển dữ liệu từ Khu vực Kinh tế Châu Âu (EEA), chúng tôi sử dụng Điều khoản Hợp đồng Tiêu chuẩn (SCCs) được Ủy ban Châu Âu phê duyệt.
## 9. Tuân thủ pháp luật Việt Nam
CyStack tuân thủ khung pháp lý bảo vệ dữ liệu cá nhân tại Việt Nam, bao gồm:
- **Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15)**, có hiệu lực từ ngày 01/01/2026, thiết lập toàn diện các quyền của chủ thể dữ liệu và nghĩa vụ của bên kiểm soát, xử lý dữ liệu cá nhân.
- **Nghị định số 356/2025/NĐ-CP về Bảo vệ dữ liệu cá nhân**, có hiệu lực từ ngày 01/01/2026, quy định chi tiết về đồng ý, xử lý dữ liệu, đánh giá tác động và chuyển dữ liệu xuyên biên giới.
- **Luật An ninh mạng (Luật số 24/2018/QH14)** và **Nghị định số 53/2022/NĐ-CP** hướng dẫn thi hành.
Theo các quy định trên, CyStack thực hiện các nghĩa vụ sau:
- Thu thập sự đồng ý rõ ràng, đầy đủ trước khi thu thập và xử lý dữ liệu cá nhân, tuân thủ yêu cầu về hình thức và nội dung theo quy định pháp luật.
- Phân loại dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, áp dụng các biện pháp bảo vệ tăng cường đối với dữ liệu nhạy cảm.
- Lập và lưu giữ hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (DPIA) cho các hoạt động xử lý dữ liệu theo quy định.
- Bố trí bộ phận/nhân sự phụ trách bảo vệ dữ liệu cá nhân chịu trách nhiệm giám sát tuân thủ.
- Thông báo cho cơ quan có thẩm quyền (Bộ Công an) trong trường hợp xảy ra sự cố vi phạm dữ liệu cá nhân, trong thời hạn theo quy định pháp luật.
- Tuân thủ quy trình chuyển dữ liệu xuyên biên giới, bao gồm đánh giá tác động và thủ tục báo cáo khi chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài.
## 10. Quyền của bạn theo pháp luật Việt Nam
Theo Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15), bạn có các quyền sau:
- **Quyền được biết:** Biết về việc dữ liệu cá nhân của mình được thu thập và xử lý như thế nào.
- **Quyền đồng ý:** Đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân.
- **Quyền truy cập:** Yêu cầu cung cấp bản sao dữ liệu cá nhân mà chúng tôi đang lưu giữ.
- **Quyền chỉnh sửa:** Yêu cầu sửa đổi dữ liệu cá nhân không chính xác hoặc chưa đầy đủ.
- **Quyền xóa:** Yêu cầu xóa dữ liệu cá nhân. Khi bạn xóa tài khoản CyStack, dữ liệu sẽ được xử lý theo Mục 6.
- **Quyền hạn chế xử lý:** Yêu cầu hạn chế hoạt động xử lý dữ liệu trong một số trường hợp nhất định.
- **Quyền phản đối:** Phản đối việc xử lý dữ liệu cá nhân khi việc xử lý dựa trên lợi ích hợp pháp.
- **Quyền di chuyển dữ liệu:** Yêu cầu cung cấp dữ liệu cá nhân ở định dạng có cấu trúc, thông dụng và đọc được bằng máy.
Để thực hiện bất kỳ quyền nào, vui lòng liên hệ [security@cystack.net](mailto:security@cystack.net). Chúng tôi sẽ phản hồi trong thời hạn theo quy định pháp luật, cụ thể như sau:
- **Phản hồi ban đầu:** Trong vòng **02 ngày làm việc** kể từ khi nhận được yêu cầu hợp lệ (về rút đồng ý, xóa, sửa...).
- **Hoàn thành rút sự đồng ý:** Trong vòng **15 ngày**.
- **Hoàn thành quyền xem, chỉnh sửa:** Trong vòng **10 -15 ngày**.
- **Hoàn thành quyền xóa dữ liệu:** Trong vòng **20 - 30 ngày.**
## 11. Quyền bổ sung cho người dùng tại EEA (GDPR)
Nếu bạn ở Khu vực Kinh tế Châu Âu (EEA), các quy định bổ sung sau được áp dụng:
**Bên kiểm soát dữ liệu:** Công ty Cổ phần CyStack Việt Nam là bên kiểm soát dữ liệu cá nhân được xử lý qua Dịch vụ.
**Cơ sở pháp lý xử lý dữ liệu:**
- **Thực hiện hợp đồng:** Xử lý cần thiết để cung cấp Dịch vụ theo Điều khoản Sử dụng.
- **Lợi ích hợp pháp:** Quản lý giao tiếp kinh doanh, đảm bảo an toàn và hiệu suất dịch vụ, phân tích cách sử dụng sản phẩm - được cân nhắc với quyền và lợi ích của bạn.
- **Đồng ý:** Cho truyền thông tiếp thị và các hoạt động xử lý khác dựa trên sự đồng ý. Bạn có thể rút lại sự đồng ý bất cứ lúc nào mà không ảnh hưởng đến tính hợp pháp của việc xử lý trước đó.
**Quyền GDPR bổ sung:**
Ngoài các quyền tại Mục 10, người dùng EEA có thể:
- Phản đối xử lý dựa trên lợi ích hợp pháp (bao gồm cho mục đích tiếp thị).
- Yêu cầu di chuyển dữ liệu (khi xử lý dựa trên đồng ý và được thực hiện bằng phương tiện tự động).
- Gửi khiếu nại đến cơ quan giám sát bảo vệ dữ liệu tại quốc gia thành viên của bạn.
## 12. Dữ liệu trẻ em
Dịch vụ của CyStack không hướng đến cá nhân dưới 16 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân từ trẻ em. Nếu phát hiện đã thu thập dữ liệu từ trẻ em mà chưa có sự đồng ý phù hợp của cha mẹ hoặc người giám hộ, chúng tôi sẽ tiến hành xóa dữ liệu đó ngay. Nếu bạn cho rằng chúng tôi có thể đã thu thập dữ liệu từ trẻ em, vui lòng liên hệ [security@cystack.net](mailto:security@cystack.net).
## 13. Thay đổi Chính sách
Chúng tôi có thể cập nhật Chính sách Quyền riêng tư này để phản ánh thay đổi trong hoạt động, sản phẩm hoặc pháp luật áp dụng. Khi có thay đổi trọng yếu, chúng tôi sẽ cập nhật ngày "Cập nhật lần cuối" tại đầu trang và khi cần thiết, thông báo qua email hoặc thông báo trong sản phẩm. Chúng tôi khuyến khích bạn xem lại Chính sách này định kỳ.
## 14. Liên hệ
Mọi câu hỏi, thắc mắc hoặc yêu cầu liên quan đến Chính sách này hoặc dữ liệu cá nhân, vui lòng liên hệ: <br> **Công ty Cổ phần CyStack Việt Nam**
<br>Email: [security@cystack.net](mailto:security@cystack.net)
<br>Địa chỉ: Tòa nhà Tân Hồng Hà, 317 Trường Chinh, Hà Nội, Việt Nam
<br>Điện thoại: (+84) 247 109 9656