Chính sách

Chính sách Quyền riêng tư HomeSafe

Chính sách Quyền riêng tư

Về bảo mật

Điều khoản Sử dụng Dịch vụ

Chính sách Quyền riêng tư

Cập nhật lần cuối: 05:29 10-06-2026

Chính sách Quyền riêng tư này giải thích cách Công ty Cổ phần CyStack Việt Nam và các đơn vị liên kết ("CyStack," "chúng tôi") thu thập, sử dụng, lưu trữ và chia sẻ dữ liệu cá nhân khi bạn truy cập các trang web, nền tảng và dịch vụ của chúng tôi (gọi chung là "Dịch vụ").

Khi sử dụng Dịch vụ, bạn xác nhận đã đọc và hiểu Chính sách này. Nếu bạn không đồng ý với bất kỳ nội dung nào, vui lòng ngừng sử dụng Dịch vụ. Các thuật ngữ viết hoa chưa được định nghĩa tại đây có nghĩa như quy định trong Điều khoản Sử dụng.

1. Phạm vi áp dụng

Chính sách này áp dụng cho toàn bộ sản phẩm và dịch vụ của CyStack, bao gồm:

  • CyStack Platform - cystack.net và các bảng điều khiển quản trị liên quan
  • Locker Password Manager - locker.io
  • CyStack Endpoint - bảo vệ thiết bị đầu cuối và chống thất thoát dữ liệu (DLP)
  • WhiteHub - nền tảng Bug Bounty và công bố lỗ hổng
  • CyStack VulnScan - quét lỗ hổng tự động
  • Data Leak Detection - giám sát lộ lọt thông tin đăng nhập và dữ liệu
  • Dịch vụ chuyên nghiệp - kiểm thử xâm nhập (pentest), red teaming, đánh giá hạ tầng và blockchain, SOC, DFIR, quản lý lỗ hổng và đào tạo bảo mật

Khi một sản phẩm cụ thể có quy trình xử lý dữ liệu riêng, các quy trình đó được mô tả tại Mục 4 của Chính sách này.

2. Dữ liệu chúng tôi thu thập

2.1 Thông tin bạn cung cấp

Loại dữ liệu Ví dụ Thời điểm thu thập
Thông tin tài khoản Họ tên, email, số điện thoại Đăng ký, tạo tài khoản
Thông tin thanh toán Tên công ty, địa chỉ thanh toán, mã số thuế Mua dịch vụ, đăng ký gói
Cấu hình dịch vụ Tên miền, địa chỉ IP, thông tin đăng nhập máy chủ Triển khai dịch vụ hoặc đánh giá bảo mật
Trao đổi liên lạc Yêu cầu hỗ trợ, email, tin nhắn, phản hồi Khi bạn liên hệ với chúng tôi
Báo cáo lỗ hổng Nội dung báo cáo, tài liệu PoC, hồ sơ nhà nghiên cứu Gửi qua WhiteHub

Lưu ý về thông tin đăng nhập: Thông tin đăng nhập máy chủ được cung cấp cho các dự án đánh giá bảo mật chỉ được sử dụng trong phạm vi và thời hạn hợp đồng, và sẽ được xóa khi kết thúc dự án trừ khi có thỏa thuận khác bằng văn bản.

2.2 Thông tin thu thập tự động

  • Dữ liệu thiết bị và trình duyệt: Hệ điều hành, loại và phiên bản trình duyệt, mã định danh thiết bị, địa chỉ IP. Dùng để bảo mật tài khoản, tối ưu dịch vụ và tuân thủ pháp luật (ví dụ: hiển thị thông báo theo khu vực dựa trên IP).
  • Dữ liệu sử dụng: Các trang truy cập, tính năng sử dụng, mốc thời gian và hành vi tương tác. Dùng để cải thiện hiệu suất và trải nghiệm dịch vụ.
  • Cookie và công nghệ tương tự: Chúng tôi sử dụng cookie thiết yếu cho chức năng cốt lõi, cookie phân tích (như Google Analytics) để đo lường hiệu suất, và cookie liên kết (affiliate) để theo dõi đối tác giới thiệu. Bạn có thể quản lý tùy chọn cookie qua cài đặt trình duyệt hoặc cơ chế đồng ý cookie trên website (nếu có).

2.3 Thông tin từ bên thứ ba

  • Đăng nhập qua mạng xã hội: Nếu bạn xác thực qua Google, GitHub, Facebook hoặc nhà cung cấp tương tự, chúng tôi chỉ nhận thông tin hồ sơ công khai mặc định (thường là email và ảnh đại diện).
  • Đơn vị xử lý thanh toán: Đối tác thanh toán cung cấp cho chúng tôi tên và địa chỉ thanh toán để xác minh tài khoản. CyStack không lưu trữ số thẻ thanh toán trên hệ thống.
  • Nhà cung cấp phân tích: Chúng tôi nhận dữ liệu sử dụng tổng hợp và ẩn danh hóa từ các dịch vụ phân tích để giám sát hiệu suất ứng dụng.

3. Mục đích sử dụng dữ liệu

Chúng tôi xử lý dữ liệu cá nhân cho các mục đích sau:

  • Cung cấp dịch vụ: Vận hành, duy trì và cải thiện Dịch vụ mà bạn đã đăng ký hoặc yêu cầu.
  • Quản lý tài khoản: Tạo và quản lý tài khoản, xác minh danh tính, xử lý giao dịch.
  • Bảo mật: Phát hiện, ngăn chặn và ứng phó gian lận, lạm dụng, mối đe dọa bảo mật và sự cố kỹ thuật.
  • Liên lạc: Gửi thông báo liên quan đến dịch vụ, phản hồi yêu cầu và hỗ trợ khách hàng.
  • Cải thiện sản phẩm: Phân tích dữ liệu sử dụng tổng hợp để nâng cao chức năng, khả năng sử dụng và hiệu suất.
  • Tuân thủ pháp luật: Thực hiện các nghĩa vụ theo quy định pháp luật hiện hành.
  • Tiếp thị: Gửi thông tin cập nhật sản phẩm, cảnh báo bảo mật và nội dung quảng bá - chỉ khi có sự đồng ý của bạn hoặc theo quy định pháp luật cho phép. Bạn có thể hủy đăng ký bất cứ lúc nào qua liên kết hủy trong email. Chúng tôi sẽ xử lý yêu cầu hủy trong vòng 7 ngày làm việc.

4. Quy trình xử lý dữ liệu theo từng sản phẩm

4.1 Locker Password Manager

  • Locker sử dụng kiến trúc mã hóa đầu cuối theo mô hình zero-knowledge. Dữ liệu vault của bạn - bao gồm mật khẩu, ghi chú bảo mật, thẻ thanh toán và các mục khác - được mã hóa ngay trên thiết bị bằng khóa dẫn xuất từ Master Password trước khi truyền đến máy chủ.
  • CyStack không có khả năng truy cập Master Password hoặc dữ liệu vault ở dạng giải mã. Nếu bạn mất Master Password, chúng tôi không thể khôi phục vault.
  • Dữ liệu CyStack có thể truy cập: email tài khoản, trạng thái đăng ký, metadata thiết bị và thống kê sử dụng tổng hợp (ví dụ: số lượng mục lưu trữ - không bao gồm nội dung).

4.2 CyStack Endpoint

CyStack Endpoint thu thập dữ liệu cấp thiết bị cần thiết cho chức năng bảo vệ endpoint và DLP, bao gồm mã định danh thiết bị, danh sách phần mềm cài đặt, log hoạt động file, metadata kết nối mạng và trạng thái tuân thủ chính sách. Phạm vi thu thập được giới hạn ở các chức năng bảo mật do quản trị viên tổ chức của bạn cấu hình, và chịu sự điều chỉnh bởi hợp đồng dịch vụ.

4.3 WhiteHub

Hồ sơ nhà nghiên cứu, báo cáo lỗ hổng, tài liệu PoC và lịch sử trao đổi được lưu trữ để vận hành nền tảng bug bounty. Tổ chức tham gia chương trình (program owner) có thể truy cập các báo cáo gửi đến chương trình của họ. Danh tính nhà nghiên cứu chỉ được chia sẻ với program owner khi có sự đồng ý của nhà nghiên cứu hoặc khi cần thiết để xử lý phần thưởng.

4.4 VulnScan & Data Leak Detection

Các dịch vụ này quét tài sản truy cập công khai và nguồn dữ liệu bên ngoài. Kết quả quét - bao gồm lỗ hổng phát hiện và thông tin đăng nhập bị lộ - được lưu trong tài khoản của bạn và chỉ người dùng được ủy quyền trong tổ chức mới có thể truy cập.

4.5 Dịch vụ chuyên sâu

Đối với pentest, red teaming, đánh giá bảo mật, DFIR, SOC và các dịch vụ liên quan, việc xử lý dữ liệu được điều chỉnh bởi hợp đồng dịch vụ riêng với tổ chức của bạn. Kết quả đánh giá và sản phẩm bàn giao chỉ được cung cấp cho tổ chức ký hợp đồng. Toàn bộ dữ liệu dự án được xóa khỏi hệ thống CyStack theo lịch trình lưu trữ đã thỏa thuận.

5. Chia sẻ dữ liệu

CyStack không bán, cho thuê hay trao đổi dữ liệu cá nhân của bạn.
Chúng tôi chỉ chia sẻ dữ liệu trong các trường hợp hạn chế sau:

  • Nhà cung cấp dịch vụ: Với các bên thứ ba đáng tin cậy hỗ trợ vận hành Dịch vụ (hạ tầng đám mây, xử lý thanh toán, phân tích), ràng buộc bởi hợp đồng xử lý dữ liệu yêu cầu bảo vệ dữ liệu tương đương.
  • Trong tổ chức của bạn: Đối với sản phẩm doanh nghiệp (CyStack Endpoint, WhiteHub), quản trị viên được ủy quyền trong tổ chức có thể truy cập dữ liệu dịch vụ như một phần chức năng sản phẩm.
  • Nghĩa vụ pháp lý: Khi được yêu cầu bởi pháp luật, quy định, quyết định của tòa án hoặc cơ quan nhà nước có thẩm quyền.
  • Chuyển giao kinh doanh: Trong trường hợp sáp nhập, mua lại hoặc bán tài sản, dữ liệu có thể được chuyển cho đơn vị kế thừa với các biện pháp bảo vệ quyền riêng tư tương đương. Chúng tôi sẽ thông báo trước khi việc chuyển giao có hiệu lực.

6. Lưu trữ dữ liệu

Chúng tôi chỉ lưu trữ dữ liệu cá nhân trong khoảng thời gian cần thiết để thực hiện các mục đích được mô tả trong Chính sách này:

  • Tài khoản đang hoạt động: Dữ liệu được lưu trữ trong suốt thời hạn tài khoản hoặc hợp đồng dịch vụ của bạn.
  • Sau khi xóa tài khoản: Dữ liệu cá nhân được xóa hoặc ẩn danh trong vòng 14 ngày kể từ khi xóa tài khoản hoặc kể từ khi nhận được yêu cầu xóa hợp lệ, theo quy định tại Mục 10 (Cách xóa dữ liệu). Khung thời gian này áp dụng cho mọi người dùng trên toàn cầu, bất kể khu vực pháp lý.
  • Giới hạn chung: Trong trường hợp không có yêu cầu lưu trữ cụ thể, chúng tôi không lưu trữ dữ liệu cá nhân quá hai (2) năm kể từ lần tương tác gần nhất của bạn với chúng tôi.
  • Dịch vụ chuyên nghiệp: Dữ liệu phát sinh trong quá trình cung cấp dịch vụ được lưu trữ theo lịch quy định trong từng hợp đồng dịch vụ.
  • Ngoại lệ pháp lý: Một số dữ liệu giới hạn có thể được lưu trữ vượt quá các thời hạn trên nếu được pháp luật áp dụng yêu cầu (thuế, kế toán, khiếu kiện, lệnh của tòa án), như được mô tả thêm tại Mục 10.

7. Bảo mật dữ liệu

Chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu, bao gồm mã hóa khi truyền tải (TLS 1.2+) và khi lưu trữ (AES-256), kiểm soát truy cập theo nguyên tắc đặc quyền tối thiểu, đánh giá bảo mật nội bộ và bên ngoài định kỳ, cùng hệ thống giám sát liên tục với cảnh báo theo thời gian thực.

Chi tiết về các biện pháp bảo mật được mô tả tại trang Bảo mật.

8. Chuyển dữ liệu xuyên biên giới

CyStack có trụ sở tại Việt Nam với văn phòng tại Canada, và sử dụng nhà cung cấp dịch vụ tại nhiều quốc gia. Khi dữ liệu cá nhân được chuyển ra ngoài phạm vi lãnh thổ của bạn, chúng tôi đảm bảo có các biện pháp bảo vệ phù hợp.

Đối với việc chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài, CyStack tuân thủ các quy định về chuyển dữ liệu xuyên biên giới theo Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15) và Nghị định 356/2025/NĐ-CP, bao gồm thực hiện Đánh giá tác động xử lý dữ liệu cá nhân (DPIA), lập hồ sơ chuyển dữ liệu và gửi thông báo đến Bộ Công an theo quy định.

Đối với chuyển dữ liệu từ Khu vực Kinh tế Châu Âu (EEA), chúng tôi sử dụng Điều khoản Hợp đồng Tiêu chuẩn (SCCs) được Ủy ban Châu Âu phê duyệt.

9. Tuân thủ pháp luật Việt Nam

CyStack tuân thủ khung pháp lý bảo vệ dữ liệu cá nhân tại Việt Nam, bao gồm:

  • Luật Bảo vệ dữ liệu cá nhân (Luật số 91/2025/QH15), có hiệu lực từ ngày 01/01/2026, thiết lập toàn diện các quyền của chủ thể dữ liệu và nghĩa vụ của bên kiểm soát, xử lý dữ liệu cá nhân.
  • Nghị định số 356/2025/NĐ-CP về Bảo vệ dữ liệu cá nhân, có hiệu lực từ ngày 01/01/2026, quy định chi tiết về đồng ý, xử lý dữ liệu, đánh giá tác động và chuyển dữ liệu xuyên biên giới.
  • Luật An ninh mạng (Luật số 24/2018/QH14)Nghị định số 53/2022/NĐ-CP hướng dẫn thi hành.

Theo các quy định trên, CyStack thực hiện các nghĩa vụ sau:

  • Thu thập sự đồng ý rõ ràng, đầy đủ trước khi thu thập và xử lý dữ liệu cá nhân, tuân thủ yêu cầu về hình thức và nội dung theo quy định pháp luật.
  • Phân loại dữ liệu cá nhân cơ bản và dữ liệu cá nhân nhạy cảm, áp dụng các biện pháp bảo vệ tăng cường đối với dữ liệu nhạy cảm.
  • Lập và lưu giữ hồ sơ Đánh giá tác động xử lý dữ liệu cá nhân (DPIA) cho các hoạt động xử lý dữ liệu theo quy định.
  • Bố trí bộ phận/nhân sự phụ trách bảo vệ dữ liệu cá nhân chịu trách nhiệm giám sát tuân thủ.
  • Thông báo cho cơ quan có thẩm quyền (Bộ Công an) trong trường hợp xảy ra sự cố vi phạm dữ liệu cá nhân, trong thời hạn theo quy định pháp luật.
  • Tuân thủ quy trình chuyển dữ liệu xuyên biên giới, bao gồm đánh giá tác động và thủ tục báo cáo khi chuyển dữ liệu cá nhân của công dân Việt Nam ra nước ngoài.

10. Cách xóa dữ liệu của bạn

Bất kể bạn ở khu vực nào hay sử dụng Dịch vụ thông qua phương thức nào (bao gồm Đăng nhập bằng Facebook, Đăng nhập bằng Google, hoặc các nhà cung cấp xác thực bên thứ ba khác), bạn đều có quyền yêu cầu xóa tài khoản và dữ liệu cá nhân liên quan theo quy trình dưới đây.

10.1 Cách gửi yêu cầu

Gửi email đến support@cystack.net với tiêu đề "Data Deletion Request", kèm theo các thông tin sau:

  • Họ tên đầy đủ và email đã đăng ký.
  • Tên sản phẩm hoặc dịch vụ CyStack mà bạn đã sử dụng.
  • Nền tảng đăng nhập bên thứ ba (nếu có), ví dụ Facebook, Google.

Bạn không cần nêu lý do và không phải trả bất kỳ khoản phí nào.

10.2 Thời gian xử lý

  • Xác nhận tiếp nhận: trong vòng 2 ngày làm việc.
  • Hoàn tất: trong vòng 30 ngày kể từ khi nhận được yêu cầu hợp lệ. Đối với các trường hợp phức tạp, chúng tôi có thể gia hạn thêm tối đa 30 ngày và sẽ thông báo cho bạn.

10.3 Phạm vi xóa

Sau khi hoàn tất, chúng tôi sẽ xóa hoặc ẩn danh không thể đảo ngược dữ liệu cá nhân của bạn khỏi các hệ thống vận hành, loại bỏ khỏi bản sao lưu theo chu kỳ luân chuyển tiếp theo (tối đa 90 ngày), và yêu cầu các đơn vị xử lý dữ liệu của chúng tôi thực hiện tương tự.

10.4 Ngoại lệ

Chúng tôi chỉ giữ lại một lượng dữ liệu hạn chế khi pháp luật yêu cầu (thuế, kế toán, khiếu kiện, lệnh của tòa án) hoặc khi dữ liệu đã được ẩn danh hoàn toàn. Việc lưu trữ được giới hạn ở mức tối thiểu cần thiết.

10.5 Hệ quả

Việc xóa dữ liệu là không thể khôi phục. Bạn sẽ mất quyền truy cập vào tài khoản và các dịch vụ phụ thuộc. Nếu muốn sử dụng lại Dịch vụ, bạn cần đăng ký tài khoản mới.

Để theo dõi tiến độ xử lý yêu cầu, vui lòng liên hệ support@cystack.net với tiêu đề "Data Deletion Inquiry".

11. Quyền bổ sung theo pháp luật Việt Nam

Bên cạnh quyền xóa dữ liệu áp dụng toàn cầu được mô tả tại Mục 10, nếu dữ liệu cá nhân của bạn được xử lý tại Việt Nam hoặc bạn là công dân Việt Nam, bạn có các quyền sau theo Luật Bảo vệ Dữ liệu Cá nhân (Luật số 91/2025/QH15):

  • Quyền được biết: Được biết về việc dữ liệu cá nhân của mình được thu thập và xử lý như thế nào.
  • Quyền đồng ý: Đồng ý hoặc rút lại sự đồng ý đối với việc xử lý dữ liệu cá nhân.
  • Quyền truy cập: Yêu cầu cung cấp bản sao dữ liệu cá nhân mà chúng tôi đang lưu trữ về bạn.
  • Quyền chỉnh sửa: Yêu cầu chỉnh sửa dữ liệu không chính xác hoặc chưa đầy đủ.
  • Quyền xóa dữ liệu: Yêu cầu xóa dữ liệu cá nhân (xem thêm Mục 10).
  • Quyền hạn chế xử lý: Yêu cầu hạn chế hoạt động xử lý dữ liệu trong một số trường hợp.
  • Quyền phản đối: Phản đối việc xử lý dữ liệu dựa trên lợi ích hợp pháp.
  • Quyền chuyển dữ liệu: Nhận dữ liệu cá nhân của mình ở định dạng có cấu trúc, thông dụng và máy có thể đọc được.

Để thực hiện các quyền nêu trên, vui lòng liên hệ chúng tôi qua support@cystack.net. Thời hạn phản hồi theo quy định của pháp luật Việt Nam:

  • Phản hồi ban đầu: trong vòng 2 ngày làm việc.
  • Hoàn tất rút lại sự đồng ý: trong vòng 15 ngày.
  • Hoàn tất quyền truy cập hoặc chỉnh sửa: trong vòng 10 đến 15 ngày.
  • Hoàn tất quyền xóa dữ liệu: trong vòng 20 đến 30 ngày.

12. Quyền bổ sung theo GDPR (người dùng tại EEA)

Bên cạnh quyền xóa dữ liệu áp dụng toàn cầu được mô tả tại Mục 10, nếu bạn ở Khu vực Kinh tế Châu Âu (EEA), Vương quốc Anh hoặc Thụy Sĩ, các quy định sau đây sẽ áp dụng.

Công ty Cổ phần CyStack Việt Nam là đơn vị kiểm soát dữ liệu (data controller) đối với dữ liệu cá nhân được xử lý thông qua Dịch vụ.

Căn cứ pháp lý xử lý dữ liệu:

  • Thực hiện hợp đồng: việc xử lý cần thiết để cung cấp Dịch vụ theo Điều khoản Dịch vụ của chúng tôi.
  • Lợi ích hợp pháp: quản lý liên lạc kinh doanh, đảm bảo an toàn và ổn định của dịch vụ, và hiểu cách sản phẩm được sử dụng - cân bằng với quyền và lợi ích của bạn.
  • Sự đồng ý: đối với truyền thông tiếp thị và các hoạt động xử lý khác mà căn cứ pháp lý áp dụng là sự đồng ý. Bạn có thể rút lại sự đồng ý bất kỳ lúc nào mà không ảnh hưởng đến tính hợp pháp của các hoạt động xử lý đã thực hiện trước đó.

Quyền của bạn theo GDPR (bổ sung cho các quyền nêu trên):

  • Phản đối việc xử lý dữ liệu dựa trên lợi ích hợp pháp (bao gồm cả mục đích tiếp thị trực tiếp).
  • Yêu cầu chuyển dữ liệu khi việc xử lý dựa trên sự đồng ý và được thực hiện bằng phương thức tự động.
  • Khiếu nại với cơ quan giám sát có thẩm quyền tại quốc gia thành viên của bạn.

13. Dữ liệu trẻ em

Dịch vụ của CyStack không hướng đến cá nhân dưới 16 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân từ trẻ em. Nếu phát hiện đã thu thập dữ liệu từ trẻ em mà chưa có sự đồng ý phù hợp của cha mẹ hoặc người giám hộ, chúng tôi sẽ tiến hành xóa dữ liệu đó ngay. Nếu bạn cho rằng chúng tôi có thể đã thu thập dữ liệu từ trẻ em, vui lòng liên hệ support@cystack.net.

14. Thay đổi Chính sách

Chúng tôi có thể cập nhật Chính sách Quyền riêng tư này để phản ánh thay đổi trong hoạt động, sản phẩm hoặc pháp luật áp dụng. Khi có thay đổi trọng yếu, chúng tôi sẽ cập nhật ngày "Cập nhật lần cuối" tại đầu trang và khi cần thiết, thông báo qua email hoặc thông báo trong sản phẩm. Chúng tôi khuyến khích bạn xem lại Chính sách này định kỳ.

15. Liên hệ

Mọi câu hỏi, thắc mắc hoặc yêu cầu liên quan đến Chính sách này hoặc dữ liệu cá nhân, vui lòng liên hệ:
Công ty Cổ phần CyStack Việt Nam

Email: support@cystack.net

Địa chỉ: Tòa nhà Tân Hồng Hà, 317 Trường Chinh, Hà Nội, Việt Nam

Điện thoại: (+84) 247 109 9656