Chính sách bảo mật

1. Giới thiệu & Phạm vi áp dụng

Công ty Cổ phần Công nghệ và Truyền thông Reborn ("Reborn", "chúng tôi") tôn trọng và cam kết bảo vệ dữ liệu cá nhân của Khách hàng, Đối tác và Người dùng truy cập website cũng như sử dụng các sản phẩm SaaS của chúng tôi (Reborn BPM, Reborn CRM, Reborn Beauty, Community Hub, Reborn Loyalty, Reborn TNPM, Reborn Realty, Reborn Tech và các sản phẩm khác).

Chính sách này tuân thủ Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân của Việt Nam và áp dụng các chuẩn quốc tế GDPR khi xử lý dữ liệu của người dùng quốc tế.

Bằng việc sử dụng website ecosystem.reborn.vn hoặc bất kỳ sản phẩm nào của Reborn, Quý khách đồng ý với các điều khoản trong Chính sách này.

2. Dữ liệu chúng tôi thu thập

Reborn chỉ thu thập dữ liệu cần thiết cho mục đích cung cấp dịch vụ và cải thiện trải nghiệm:

• Thông tin liên hệ: Họ tên, số điện thoại, email, công ty, chức danh — khi Quý khách điền form đăng ký demo, tư vấn, ứng tuyển hoặc liên hệ.
• Thông tin tổ chức (Tenant): Tên doanh nghiệp, mã số thuế, địa chỉ, subdomain, lĩnh vực hoạt động — khi đăng ký workspace SaaS.
• Thông tin tài khoản: Email đăng nhập, mật khẩu (mã hoá one-way), avatar, số điện thoại — khi tạo tài khoản admin/người dùng.
• Dữ liệu nghiệp vụ trong workspace: Khách hàng cuối, đơn hàng, hồ sơ điều trị, quy trình BPMN — Quý khách là Chủ dữ liệu, Reborn chỉ là Bên xử lý theo Hợp đồng dịch vụ.
• Dữ liệu kỹ thuật: Địa chỉ IP, loại trình duyệt, hệ điều hành, thời gian truy cập, trang web nguồn — qua cookies và analytics.
• Dữ liệu sử dụng: Tính năng dùng, tần suất, thiết bị — phục vụ cải thiện sản phẩm (ẩn danh sau khi tổng hợp).

3. Mục đích sử dụng dữ liệu

Reborn sử dụng dữ liệu cá nhân cho các mục đích sau:

• Cung cấp, vận hành và bảo trì các sản phẩm SaaS đã đăng ký.
• Xác thực, phân quyền và bảo mật tài khoản (RBAC, audit log).
• Liên lạc với Quý khách về demo, tư vấn, hợp đồng, hoá đơn, hỗ trợ kỹ thuật.
• Gửi thông tin về sản phẩm mới, cập nhật bảo mật, ưu đãi (chỉ khi Quý khách đăng ký nhận newsletter — có thể huỷ bất kỳ lúc nào).
• Phân tích và cải thiện hiệu suất sản phẩm (dữ liệu được ẩn danh trước khi phân tích).
• Tuân thủ nghĩa vụ pháp lý: thuế, phòng chống gian lận, yêu cầu của cơ quan có thẩm quyền.

4. Cơ sở pháp lý xử lý dữ liệu

Reborn xử lý dữ liệu cá nhân dựa trên các cơ sở pháp lý sau, theo Điều 17 Nghị định 13/2023/NĐ-CP:

• Sự đồng ý của Chủ thể dữ liệu — khi Quý khách điền form, đăng ký tài khoản, tick chọn nhận newsletter.
• Thực hiện hợp đồng — khi xử lý dữ liệu cần thiết để cung cấp dịch vụ SaaS đã ký kết.
• Lợi ích hợp pháp — bảo mật hệ thống, phòng chống gian lận, cải thiện sản phẩm (cân bằng với quyền của Chủ thể).
• Nghĩa vụ pháp lý — tuân thủ luật thuế, kế toán, phòng chống rửa tiền, yêu cầu cơ quan nhà nước.

5. Chia sẻ dữ liệu với bên thứ ba

Reborn KHÔNG bán, cho thuê hay trao đổi dữ liệu cá nhân của Quý khách. Chúng tôi chỉ chia sẻ dữ liệu trong các trường hợp sau:

• Nhà cung cấp hạ tầng: AWS, Google Cloud (lưu trữ, CDN) — đã ký DPA và tuân thủ chuẩn ISO 27001/SOC2.
• Cổng thanh toán: VNPay, MoMo, Stripe (chỉ token thanh toán, không lưu thông tin thẻ).
• Dịch vụ phân tích: Google Analytics 4 (dữ liệu ẩn danh), Facebook Pixel (chỉ pixel events, không PII).
• Đối tác triển khai (System Integrator / OEM): chỉ khi Quý khách thuê đối tác triển khai và uỷ quyền truy cập.
• Theo yêu cầu pháp luật: cơ quan thực thi pháp luật, toà án — khi có yêu cầu hợp lệ.

6. Bảo mật & Lưu trữ dữ liệu

Reborn áp dụng các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu:

• Mã hoá dữ liệu nhạy cảm at-rest (AES-256) và in-transit (TLS 1.3).
• Mật khẩu được hash bằng Argon2 / bcrypt — không bao giờ lưu plaintext.
• Phân quyền chi tiết (RBAC), audit log không thể chỉnh sửa, multi-factor authentication cho tài khoản admin.
• Backup tự động hàng ngày, lưu tại nhiều region để đảm bảo khôi phục thảm hoạ (DR).
• Soft-delete 30 ngày trước khi xoá vĩnh viễn — đảm bảo có thể khôi phục khi cần.
• Đào tạo nhân viên Reborn định kỳ về security awareness và data privacy.

7. Quyền của Chủ thể dữ liệu

Theo Nghị định 13/2023/NĐ-CP, Quý khách có các quyền sau đối với dữ liệu cá nhân của mình:

• Quyền được biết: thông tin về việc xử lý dữ liệu cá nhân của mình.
• Quyền đồng ý / từ chối / rút lại đồng ý: bất kỳ lúc nào, không cần lý do.
• Quyền truy cập, chỉnh sửa: yêu cầu xem và cập nhật dữ liệu cá nhân.
• Quyền xoá dữ liệu: yêu cầu xoá dữ liệu cá nhân (right to be forgotten).
• Quyền hạn chế xử lý: tạm dừng xử lý trong thời gian xác minh tranh chấp.
• Quyền yêu cầu cung cấp dữ liệu: nhận bản sao dữ liệu cá nhân ở định dạng có cấu trúc, có thể đọc bằng máy.
• Quyền phản đối: phản đối việc xử lý dữ liệu cho mục đích marketing trực tiếp.
• Quyền khiếu nại, tố cáo, khởi kiện: với cơ quan có thẩm quyền hoặc Toà án.
• Để thực hiện các quyền này, vui lòng liên hệ DPO của Reborn — phản hồi trong vòng 72 giờ làm việc.

8. Cookies và Công nghệ theo dõi

Website Reborn sử dụng cookies cho các mục đích sau:

• Cookies thiết yếu: phiên đăng nhập, ngôn ngữ hiển thị, subdomain workspace — không thể tắt.
• Cookies chức năng: ghi nhớ tuỳ chọn, trạng thái UI — có thể tắt nhưng ảnh hưởng trải nghiệm.
• Cookies phân tích: Google Analytics, hành vi sử dụng để cải thiện sản phẩm — Quý khách có thể từ chối.
• Cookies marketing: Facebook Pixel cho retargeting — Quý khách có thể từ chối qua banner cookie.
• Quý khách có thể quản lý cookies qua cài đặt trình duyệt hoặc liên hệ với chúng tôi để được hỗ trợ.

9. Thời gian lưu trữ dữ liệu

Reborn lưu trữ dữ liệu cá nhân theo nguyên tắc tối thiểu cần thiết:

• Thông tin liên hệ marketing: 24 tháng kể từ lần tương tác cuối.
• Tài khoản workspace SaaS: trong suốt thời gian hợp đồng + 12 tháng sau khi chấm dứt (cho mục đích kế toán, audit).
• Dữ liệu nghiệp vụ trong workspace: theo cấu hình của Quý khách (Chủ dữ liệu) — Reborn cung cấp công cụ export trước khi xoá.
• Hoá đơn, chứng từ kế toán: 10 năm (theo Luật Kế toán Việt Nam).
• Audit log bảo mật: 36 tháng (cho mục đích phòng chống gian lận, điều tra incident).

10. Chuyển dữ liệu xuyên biên giới

Một số dịch vụ hạ tầng của Reborn (AWS, Google Cloud) có thể đặt server tại Singapore, Nhật Bản, Mỹ. Trong trường hợp này:

Reborn ký Data Processing Agreement (DPA) với nhà cung cấp tuân thủ chuẩn ISO 27001 / SOC2 / GDPR.

Reborn thông báo và lấy đồng ý của Quý khách trước khi chuyển dữ liệu ra ngoài lãnh thổ Việt Nam.

Áp dụng các biện pháp bảo vệ bổ sung: mã hoá end-to-end, kiểm soát truy cập nghiêm ngặt.

11. Dữ liệu trẻ em

Reborn KHÔNG cố ý thu thập dữ liệu cá nhân của trẻ em dưới 16 tuổi. Nếu phát hiện dữ liệu trẻ em được thu thập mà không có sự đồng ý của cha mẹ / người giám hộ, chúng tôi sẽ xoá ngay lập tức.

Đối với các sản phẩm vertical phục vụ ngành Thẩm mỹ / Y tế có thể liên quan đến khách hàng vị thành niên, Reborn yêu cầu Tenant tuân thủ quy định pháp luật về xử lý dữ liệu trẻ em.

12. Thay đổi Chính sách

Reborn có thể cập nhật Chính sách bảo mật này theo thời gian để phản ánh thay đổi trong sản phẩm, công nghệ hoặc quy định pháp luật.

Khi có thay đổi quan trọng, chúng tôi sẽ thông báo qua email (cho khách hàng đã đăng ký) ít nhất 30 ngày trước khi áp dụng, đồng thời cập nhật trên website này.

Phiên bản hiện tại được ghi rõ ở đầu trang. Lịch sử thay đổi được lưu và có thể yêu cầu cung cấp.

13. Liên hệ với Cán bộ Bảo vệ Dữ liệu (DPO)

Mọi yêu cầu, khiếu nại, câu hỏi liên quan đến dữ liệu cá nhân, vui lòng liên hệ:

• Cán bộ Bảo vệ Dữ liệu (DPO): Ths. Đoàn Ngọc Lan — Chuyên gia Vận hành, Reborn JSC
• Email: contact@reborn.vn (cc: dpo@reborn.vn nếu khẩn)
• Điện thoại: 0973.090.393
• Địa chỉ: HA02-231, Hải Âu 2, KĐT Vinhomes Ocean Park, Xã Gia Lâm, TP Hà Nội, Việt Nam
• Thời gian phản hồi: trong vòng 72 giờ làm việc với mọi yêu cầu liên quan đến quyền của Chủ thể dữ liệu.