TNCBASE

Chính sách bảo mật

Căn cứ: Luật Bảo vệ dữ liệu cá nhân 2025 (Luật 91/2025/QH15), Nghị định 356/2025/NĐ-CP, Luật An ninh mạng, Luật An toàn thông tin mạng, Luật Bảo vệ quyền lợi người tiêu dùng 2023, Luật Giao dịch điện tử 2023; tham chiếu GDPR.

Phiên bản: v1.0

Ngày hiệu lực: 11/07/2026

Cập nhật lần cuối: 2026-07-02


1. Chúng tôi là ai

CÔNG TY TNHH TNCBASE ("TNCBASE", "chúng tôi"), MST 3703161119, địa chỉ Số 44, Đường N19, Phường Bình Dương, Thành phố Hồ Chí Minh, vận hành nền tảng SaaS TNCBASE. Chính sách này giải thích chúng tôi thu thập, sử dụng, chia sẻ và bảo vệ dữ liệu cá nhân như thế nào.

Vai trò hai lớp (theo Luật 91/2025):

  • Với dữ liệu tài khoản người dùng nền tảng → TNCBASE là Bên Kiểm soát dữ liệu.
  • Với dữ liệu do doanh nghiệp (tenant) nhập vào hệ thống (khách hàng cuối, nhân sự...) → tenant là Bên Kiểm soát, TNCBASE là Bên Xử lý thay mặt tenant. Nếu bạn là khách hàng cuối/nhân viên của một doanh nghiệp dùng TNCBASE, vui lòng liên hệ doanh nghiệp đó về quyền dữ liệu của bạn; chúng tôi hỗ trợ họ thực thi.

2. Dữ liệu cá nhân chúng tôi thu thập

2.1. Dữ liệu tài khoản (bạn cung cấp khi đăng ký/sử dụng)

Họ tên, số điện thoại, email (tuỳ chọn), mật khẩu (lưu dạng băm), ảnh đại diện; cài đặt xác thực đa yếu tố (bí mật TOTP được mã hoá, mã khôi phục được băm).

2.2. Dữ liệu địa chỉ (sổ địa chỉ người dùng)

Tên & SĐT người nhận, tỉnh/phường, địa chỉ chi tiết, mục đích (liên hệ/giao hàng/xuất hoá đơn).

2.3. Dữ liệu phiên & thiết bị (thu thập tự động)

Địa chỉ IP, User-Agent, loại trình duyệt, hệ điều hành, tên thiết bị, thời điểm truy cập gần nhất; nhật ký đăng nhập, dữ liệu chống gian lận/chống bot (Cloudflare Turnstile).

2.4. Dữ liệu do doanh nghiệp nhập (TNCBASE xử lý thay tenant)

  • Khách hàng cuối: tên, SĐT, email, địa chỉ, ngày sinh, giới tính, điểm tích luỹ, hạng, lịch sử chi tiêu/ghé thăm.
  • Nhân sự (HR) — bao gồm DỮ LIỆU NHẠY CẢM: số CCCD/CMND, ngày cấp, nơi cấp, ngày sinh, giới tính, quốc tịch, dân tộc, trình độ, người phụ thuộc, số BHXH/BHYT, mã số thuế, tài khoản & ngân hàng, địa chỉ thường trú/tạm trú, liên hệ khẩn cấp, lương, bảng lương (thuế TNCN, khấu trừ bảo hiểm).
  • Đơn hàng & thanh toán: thông tin đơn, địa chỉ giao hàng, cổng thanh toán, mã giao dịch, phản hồi giao dịch.
  • Chương trình khách hàng thân thiết: số dư điểm, sổ cái tích/đổi điểm.

2.5. Dữ liệu liên hệ & thông báo

Lời mời thành viên (email/SĐT người được mời), thông báo trong hệ thống, nội dung email giao dịch (đặt lại mật khẩu, nhắc lịch...).

2.6. Nhật ký kiểm toán

Thao tác nhạy cảm của quản trị viên nền tảng được ghi log (thời điểm, người thực hiện, hành động).

Phân loại theo luật: phần lớn dữ liệu ở 2.1–2.3 là dữ liệu cá nhân cơ bản; dữ liệu HR ở 2.4 (CCCD, BHXH/BHYT, dân tộc, tài khoản ngân hàng, sức khoẻ/tài chính...) thuộc dữ liệu cá nhân nhạy cảm và được bảo vệ ở mức cao hơn.

3. Mục đích & căn cứ pháp lý xử lý

Mục đíchCăn cứ pháp lý
Tạo & quản lý tài khoản, xác thực, bảo mật (MFA, quản lý phiên)Thực hiện hợp đồng; lợi ích hợp pháp về an ninh
Cung cấp & vận hành các Dịch vụ (POS, store, CMS, HR...)Thực hiện hợp đồng
Xử lý đơn hàng, thanh toán, hoá đơnThực hiện hợp đồng; nghĩa vụ pháp lý (kế toán, thuế)
Xử lý dữ liệu HR (hợp đồng, lương, BHXH, thuế TNCN)Nghĩa vụ pháp lý của tenant; TNCBASE xử lý theo uỷ quyền
Gửi email giao dịch/thông báoThực hiện hợp đồng
Chống gian lận, lạm dụng, quá tảiLợi ích hợp pháp; nghĩa vụ pháp lý
Cải thiện & phân tích sản phẩmLợi ích hợp pháp; hoặc đồng ý khi luật yêu cầu
Tiếp thị (nếu có)Đồng ý của bạn (có thể rút bất cứ lúc nào)

Khi pháp luật yêu cầu, chúng tôi (hoặc tenant) chỉ xử lý dữ liệu sau khi có sự đồng ý hợp lệ của chủ thể dữ liệu.

4. Chia sẻ dữ liệu & bên thứ ba

Chúng tôi không bán dữ liệu cá nhân. Chúng tôi chỉ chia sẻ khi cần thiết:

  • Cổng thanh toán: VNPay, MoMo (xử lý giao dịch); thanh toán COD không qua cổng.
  • Nhà cung cấp email/SMTP: để gửi email giao dịch.
  • Hạ tầng đám mây (AWS/EC2/S3): lưu trữ & vận hành hệ thống.
  • Dịch vụ chống bot: Cloudflare Turnstile.
  • Cơ sở dữ liệu & hàng đợi: PostgreSQL, Redis (do chúng tôi vận hành).
  • Giữa các tenant: dữ liệu được cô lập theo tenant (Row-Level Security); tenant này không thấy dữ liệu tenant khác.
  • Cơ quan nhà nước có thẩm quyền: khi có yêu cầu hợp pháp.
  • Chuyển giao doanh nghiệp: trong trường hợp sáp nhập/mua bán, dữ liệu có thể được chuyển giao kèm nghĩa vụ bảo mật tương đương.

5. Chuyển dữ liệu xuyên biên giới

Một số nhà cung cấp hạ tầng có thể lưu trữ/xử lý dữ liệu ngoài lãnh thổ Việt Nam. Khi có hoạt động chuyển dữ liệu cá nhân ra nước ngoài, chúng tôi thực hiện đánh giá tác động chuyển dữ liệu và các biện pháp bảo đảm theo Luật Bảo vệ dữ liệu cá nhân 2025 và Nghị định 356/2025/NĐ-CP (bao gồm nghĩa vụ lập hồ sơ trong thời hạn luật định). Hạ tầng chính của TNCBASE hiện đặt tại khu vực AWS Singapore.

6. Thời gian lưu trữ

Chúng tôi lưu dữ liệu trong thời gian cần thiết cho mục đích thu thập, hoặc theo yêu cầu pháp luật (ví dụ chứng từ kế toán/thuế). Nhiều dữ liệu áp dụng xoá mềm (deleted_at) trước khi xoá vĩnh viễn. Khi chấm dứt tài khoản, bạn có 30 ngày để trích xuất dữ liệu; sau đó dữ liệu được xoá hoặc ẩn danh, trừ phần phải lưu theo luật. Dữ liệu phiên/nhật ký có thời hạn lưu ngắn hơn.

7. Biện pháp bảo mật

  • Mật khẩu lưu dạng băm; bí mật MFA/TOTP mã hoá AES-256-GCM; mã khôi phục băm SHA-256.
  • Token xác thực ký RS256; cơ chế thu hồi token, xoay refresh token, khoá tài khoản khi đăng nhập sai nhiều lần.
  • Cô lập đa tenant bằng Row-Level Security ở tầng cơ sở dữ liệu.
  • Quản lý & thu hồi phiên đăng nhập theo thiết bị; nhật ký kiểm toán cho thao tác nhạy cảm.
  • Kết nối mã hoá (HTTPS/TLS).

Dù nỗ lực bảo vệ, không hệ thống nào an toàn tuyệt đối. Khi xảy ra sự cố vi phạm dữ liệu cá nhân, chúng tôi thông báo cho các bên liên quan và cơ quan có thẩm quyền theo quy định.

8. Quyền của bạn (chủ thể dữ liệu)

Theo Luật Bảo vệ dữ liệu cá nhân 2025, bạn có quyền:

  • Được biết về việc xử lý dữ liệu của mình;
  • Đồng ý / rút lại đồng ý;
  • Truy cập, xem, sao chép dữ liệu;
  • Chỉnh sửa dữ liệu chưa chính xác;
  • Xoá dữ liệu ("quyền được quên") trong phạm vi luật cho phép;
  • Hạn chế / phản đối việc xử lý;
  • Yêu cầu cung cấp / di chuyển dữ liệu;
  • Khiếu nại, tố cáo, khởi kiện theo quy định.

Để thực hiện quyền, liên hệ contact@tncbase.com. Nếu dữ liệu do một doanh nghiệp (tenant) kiểm soát, chúng tôi sẽ chuyển yêu cầu tới doanh nghiệp đó và hỗ trợ họ xử lý. Chúng tôi phản hồi trong thời hạn luật định.

9. Cookie & công nghệ tương tự

Chúng tôi sử dụng cookie/lưu trữ cần thiết cho đăng nhập, phiên, bảo mật (chống bot) và ghi nhớ lựa chọn (ví dụ tenant, giao diện sáng/tối). Khi website sử dụng công cụ phân tích (ví dụ Google Analytics), cookie phân tích được dùng để đo lường truy cập ở dạng tổng hợp.

10. Dữ liệu trẻ em

Dịch vụ không hướng tới trẻ em dưới 18 tuổi và chúng tôi không cố ý thu thập dữ liệu của trẻ em. Nếu phát hiện, chúng tôi sẽ xoá theo quy định.

11. Thay đổi chính sách

Chúng tôi có thể cập nhật Chính sách này. Thay đổi trọng yếu sẽ được thông báo (email hoặc trong ứng dụng) và, khi cần, yêu cầu đồng ý lại. Mỗi phiên bản được lưu kèm ngày hiệu lực.

12. Đầu mối liên hệ về bảo vệ dữ liệu

  • Bộ phận/đầu mối phụ trách bảo vệ dữ liệu: Bộ phận Bảo vệ dữ liệu — Công ty TNHH TNCBASE
  • Email: contact@tncbase.com
  • Địa chỉ: Số 44, Đường N19, Phường Bình Dương, Thành phố Hồ Chí Minh
  • Website: https://tncbase.com