1. Phạm vi áp dụng
Chính sách này áp dụng cho mọi dữ liệu cá nhân được xử lý qua dịch vụ est-invoice ("Dịch vụ"). NKKTech cam kết tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và các tiêu chuẩn quốc tế (GDPR, ISO 27001 best-practices).
2. Dữ liệu chúng tôi thu thập
| Loại | Nội dung | Mục đích |
|---|---|---|
| Tài khoản | Email, họ tên, số điện thoại, role | Xác thực, RBAC, hỗ trợ |
| Tổ chức | Tên công ty, MST, địa chỉ, ngành nghề | Xuất hóa đơn VAT, khai thuế |
| Nhân viên (HR) | CCCD (mã hóa AES-256), ngày sinh, lương, BHXH | Tính lương, khai BHXH/TNCN |
| Khách hàng B2B | Tên khách, MST, email, điện thoại | Xuất hóa đơn, hợp đồng |
| Tài chính | Hóa đơn, expense, journal entry | Kế toán, báo cáo, audit |
| Kỹ thuật | IP, user-agent, audit log, session ID | Bảo mật, debug, fraud detection |
| Marketing | Email signup, cookie GA4 (opt-in) | Analytics, drip email |
3. Cơ sở pháp lý
Theo NĐ 13/2023, NKKTech xử lý dữ liệu cá nhân dựa trên các cơ sở pháp lý:
- Đồng ý (Consent): marketing email, cookie analytics — opt-in rõ ràng.
- Hợp đồng: cung cấp Dịch vụ theo Điều khoản sử dụng.
- Nghĩa vụ pháp lý: lưu hóa đơn 10 năm theo Luật Kế toán, gửi tờ khai thuế theo Luật Quản lý thuế.
- Lợi ích chính đáng: bảo mật (audit log, fraud detection).
4. Chia sẻ dữ liệu với bên thứ ba
Chúng tôi chia sẻ dữ liệu với các nhà cung cấp dịch vụ (sub-processor) sau:
| Bên thứ ba | Mục đích | Khu vực |
|---|---|---|
| DigitalOcean | Hosting server | Singapore |
| Cloudflare | CDN + DDoS + DNS | Global (CDN edges) |
| Resend | Gửi email transactional | US/EU |
| Anthropic (Claude) | AI processing (extract, chatbot) | US — zero data retention enterprise tier |
| MISA mInvoice / Viettel / VNPT | Truyền hóa đơn điện tử + tờ khai | Việt Nam |
| Stripe / VNPay | Xử lý thanh toán | US / Việt Nam |
| Backblaze B2 / AWS S3 | Backup offsite | US/EU |
| Google Analytics 4 | Marketing analytics (opt-in) | US |
Tất cả sub-processor đã ký DPA + tuân thủ standard contractual clauses cho transfer ra ngoài VN. Xem full list cập nhật tại /legal/dpa#sub-processors.
5. Quyền của chủ thể dữ liệu
Theo NĐ 13/2023, Bạn có các quyền sau và có thể thực hiện qua /settings/privacy hoặc email privacy@nkktech.com:
- Quyền truy cập: yêu cầu xem dữ liệu cá nhân chúng tôi đang lưu.
- Quyền chỉnh sửa: yêu cầu sửa dữ liệu sai/lỗi thời.
- Quyền xóa: yêu cầu xóa dữ liệu (trừ dữ liệu cần lưu theo nghĩa vụ pháp lý, ví dụ: hóa đơn 10 năm).
- Quyền hạn chế xử lý: tạm dừng xử lý dữ liệu trong khi tranh chấp.
- Quyền chuyển dữ liệu: export toàn bộ dữ liệu định dạng máy đọc được (JSON/CSV).
- Quyền phản đối: từ chối nhận marketing email (unsubscribe link trong mọi email).
- Quyền khiếu nại: liên hệ Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao (A05 — Bộ Công an).
Chúng tôi phản hồi yêu cầu trong vòng 72 giờ kể từ khi nhận.
6. Thời gian lưu trữ
- Hóa đơn, sổ kế toán: 10 năm (Luật Kế toán 2015 Điều 41).
- Tờ khai thuế, chứng từ thuế: 10 năm (Luật Quản lý thuế 2019).
- Hồ sơ nhân sự, hợp đồng lao động: 5 năm sau khi nghỉ việc (Bộ luật Lao động 2019).
- Audit log bảo mật: 2 năm.
- Dữ liệu marketing: xóa ngay khi unsubscribe.
- Tài khoản hủy: dữ liệu lưu 30 ngày để khôi phục, sau đó xóa khỏi DB + backup.
7. Cookie và tracking
Chúng tôi sử dụng cookie tối thiểu cần thiết để Dịch vụ hoạt động:
- Cookie cần thiết: session ID, CSRF token, theme preference (không thể tắt).
- Cookie analytics (opt-in): Google Analytics 4 — đo conversion funnel. Tắt được tại /settings/privacy.
- Cookie marketing: không sử dụng.
8. Bảo mật kỹ thuật
- Mã hóa TLS 1.3 cho mọi traffic.
- Mã hóa AES-256 cho CCCD, MST nhân viên ở mức database.
- 2FA bắt buộc cho ADMIN, khuyến nghị cho mọi user.
- Multi-tenant isolation: filter
organizationIdở mọi query. - Audit log immutable (hash-chained, write-once).
- Backup mã hóa, retention 30 ngày + offsite weekly.
- Fail2ban + CrowdSec + mod_security WAF.
- Pen-test định kỳ 12 tháng.
9. Vi phạm dữ liệu (Data breach)
Trong trường hợp xảy ra vi phạm dữ liệu cá nhân, chúng tôi sẽ:
- Thông báo cho cơ quan chức năng (Bộ Công an A05) trong 72 giờ kể từ khi phát hiện.
- Thông báo cho Chủ thể dữ liệu bị ảnh hưởng qua email trong 72 giờ.
- Cung cấp báo cáo điều tra + biện pháp khắc phục trong vòng 30 ngày.
10. Liên hệ
Data Protection Officer (DPO): dpo@nkktech.com
Privacy team: privacy@nkktech.com
Cơ quan giám sát: A05 — Cục An ninh mạng và phòng chống tội phạm sử dụng công nghệ cao