Thỏa thuận xử lý dữ liệu (DPA)

Phiên bản 1.0 · Hiệu lực từ 13/6/2026

⚠️ Bản dự thảo — đang chờ luật sư review. FDI Khách hàng cần ký bản đối chứng có chữ ký số trước khi go-live.

1. Các bên

  • Bên xử lý dữ liệu (Processor): Công ty TNHH NKKTech ("NKKTech" / "Chúng tôi").
  • Bên kiểm soát dữ liệu (Controller): Khách hàng — tổ chức đăng ký sử dụng Dịch vụ ("Khách hàng" / "Bạn").

2. Phạm vi xử lý

NKKTech xử lý các loại dữ liệu cá nhân sau theo chỉ đạo của Khách hàng:

  • Dữ liệu nhân viên: họ tên, ngày sinh, CCCD (mã hóa), địa chỉ, số điện thoại, email, lương, MST cá nhân, BHXH.
  • Dữ liệu khách hàng B2B: tên doanh nghiệp/cá nhân, MST, địa chỉ, người đại diện, contact info.
  • Dữ liệu giao dịch: hóa đơn, hợp đồng, chuyển khoản, journal entry.

Mục đích xử lý: cung cấp Dịch vụ kế toán + khai thuế + AI theo Điều khoản sử dụng. NKKTech KHÔNG sử dụng dữ liệu cho mục đích nào khác (marketing, bán cho bên thứ ba, train AI public).

3. Trách nhiệm của Processor (NKKTech)

  • Chỉ xử lý dữ liệu theo chỉ đạo bằng văn bản của Controller (bao gồm cấu hình trong app).
  • Áp dụng các biện pháp bảo mật tương xứng (Mục 8 Privacy Policy).
  • Yêu cầu nhân viên ký NDA + chỉ truy cập trên cơ sở need-to-know.
  • Thông báo cho Controller trong vòng 48 giờ khi phát hiện vi phạm dữ liệu.
  • Hỗ trợ Controller phản hồi yêu cầu của chủ thể dữ liệu (truy cập/xóa/chỉnh sửa).
  • Cung cấp báo cáo audit + bằng chứng tuân thủ khi Controller yêu cầu (tối đa 1 lần/năm).
  • Xóa hoặc trả lại toàn bộ dữ liệu trong vòng 30 ngày khi hợp đồng chấm dứt.

4. Trách nhiệm của Controller (Khách hàng)

  • Đảm bảo có cơ sở pháp lý hợp lệ để thu thập + chuyển dữ liệu cá nhân cho NKKTech xử lý.
  • Cung cấp thông báo bảo mật cho chủ thể dữ liệu (nhân viên, khách hàng).
  • Phân quyền user trong app theo nguyên tắc need-to-know (RBAC).
  • Bật 2FA cho mọi ADMIN.
  • Thông báo cho NKKTech khi có yêu cầu từ chủ thể dữ liệu cần coordinate.

5. Sub-processors

NKKTech sử dụng các sub-processor sau đây để cung cấp Dịch vụ:

Sub-processorMục đíchVị tríTiêu chuẩn
DigitalOceanHosting application + databaseSingapore (SGP1)ISO 27001, SOC 2 Type II
CloudflareCDN + DDoS + DNS + WAFGlobalISO 27001, SOC 2, PCI DSS
AnthropicClaude AI processing (extract, chatbot)USZero data retention tier; SOC 2
ResendTransactional email (signup, reset, drip)US/EUSOC 2 Type II
MISA mInvoiceTruyền hóa đơn điện tử + tờ khai thuếViệt NamĐược TCT cấp phép
Viettel CATruyền tờ khai thuếViệt NamĐược TCT cấp phép
VNPT iCaChữ ký số CAViệt NamĐược TCT cấp phép
Backblaze B2Backup offsite weeklyUS/EUSOC 2
StripeXử lý thanh toán quốc tế (USD)USPCI DSS Level 1
VNPayXử lý thanh toán VNDViệt NamĐược NHNN cấp phép

Thay đổi sub-processor: NKKTech thông báo cho Controller trước 30 ngày qua email tới admin. Nếu Controller phản đối có lý do chính đáng, hai bên thương lượng giải pháp; nếu không đạt thỏa thuận, Controller có quyền hủy hợp đồng + hoàn phí chưa sử dụng.

6. Chuyển dữ liệu ra ngoài Việt Nam

Một số sub-processor lưu dữ liệu ngoài lãnh thổ Việt Nam (DigitalOcean SGP1, Anthropic US, Resend US/EU, Backblaze US/EU, Stripe US). NKKTech đảm bảo:

  • Đã đăng ký với A05 theo NĐ 13/2023 về việc chuyển dữ liệu xuyên biên giới (hoàn thành trước launch).
  • Ký Standard Contractual Clauses (SCC) với mọi sub-processor ngoài VN.
  • Đánh giá tác động chuyển dữ liệu (TIA — Transfer Impact Assessment) định kỳ 12 tháng.

7. Bảo mật kỹ thuật và tổ chức

Tham chiếu Mục 8 của Chính sách bảo mật. Bao gồm:

  • Mã hóa TLS 1.3 in-transit; AES-256 at-rest cho dữ liệu nhạy cảm.
  • Phân quyền RBAC + 2FA bắt buộc cho ADMIN.
  • Multi-tenant isolation kiểm soát ở DB layer + middleware.
  • Audit log immutable, hash-chained.
  • Backup daily 30-day retention + offsite weekly.
  • WAF (mod_security + OWASP Core Rule Set), fail2ban, CrowdSec.
  • Pen-test bên thứ ba 12 tháng/lần.

8. Thời hạn và chấm dứt

DPA này có hiệu lực cùng với Điều khoản sử dụng. Khi hợp đồng chấm dứt:

  • NKKTech ngừng xử lý dữ liệu trong vòng 7 ngày.
  • Controller có 30 ngày để export dữ liệu.
  • Sau 30 ngày, NKKTech xóa toàn bộ dữ liệu (database + backup) và cung cấp giấy xác nhận xóa.
  • Trường hợp luật yêu cầu lưu (vd: hóa đơn 10 năm theo Luật Kế toán) thì NKKTech tiếp tục lưu nhưng KHÔNG được xử lý cho mục đích khác.

9. Ký DPA chính thức

Khách hàng tự động chấp nhận DPA này khi đăng ký Dịch vụ. Để có bản DPA có chữ ký số (e-signature) phục vụ audit compliance hoặc parent company yêu cầu, vui lòng email legal@nkktech.com với MST và tên đại diện ký. Chúng tôi sẽ gửi bản signing qua DocuSign trong 24 giờ.