Công ty TNHH Thương mại Điện tử Sudo ("Sudo", "chúng tôi") tôn trọng quyền riêng tư và cam kết bảo vệ thông tin cá nhân của khách hàng sử dụng các dịch vụ của chúng tôi, bao gồm: thiết kế website, phát triển phần mềm, dịch vụ hosting/server, đăng ký tên miền và dịch vụ marketing.
Chính sách bảo mật này được xây dựng tuân thủ:
Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (có hiệu lực từ 01/07/2023)
Luật Bảo vệ Quyền lợi Người tiêu dùng 2023
Nghị định 72/2013/NĐ-CP và các văn bản pháp luật liên quan về thương mại điện tử
Bằng việc đăng ký và sử dụng dịch vụ của Sudo, bạn xác nhận đã đọc, hiểu và đồng ý với toàn bộ nội dung Chính sách bảo mật này.
Điều 1: Định nghĩa
Trong chính sách này, các thuật ngữ sau được hiểu như sau:
"Khách hàng": Tổ chức hoặc cá nhân đã đăng ký và sử dụng một hoặc nhiều dịch vụ của Sudo.
"Dữ liệu cá nhân": Thông tin gắn liền với một cá nhân cụ thể, bao gồm họ tên, số điện thoại, địa chỉ email, địa chỉ, thông tin tài khoản.
"Dữ liệu dịch vụ": Nội dung, tài liệu, dữ liệu mà khách hàng lưu trữ hoặc xử lý thông qua hạ tầng của Sudo (dữ liệu hosting, cơ sở dữ liệu website, phần mềm).
"Bên thứ ba": Tổ chức hoặc cá nhân không phải Sudo hoặc khách hàng.
"Sự cố dữ liệu": Hành vi truy cập, tiết lộ, thay đổi hoặc phá hủy dữ liệu cá nhân/dữ liệu dịch vụ trái phép.
Điều 2: Phạm vi và mục đích thu thập thông tin
2.1. Thông tin Sudo thu thập từ khách hàng
Sudo thu thập các thông tin sau khi khách hàng đăng ký và sử dụng dịch vụ:
Thông tin định danh: Họ và tên, tên công ty, số CCCD/CMND hoặc mã số thuế doanh nghiệp
Thông tin liên hệ: Địa chỉ email, số điện thoại, địa chỉ bưu chính
Thông tin tài khoản: Tên đăng nhập, mật khẩu (được mã hóa), cài đặt tài khoản
Thông tin giao dịch: Lịch sử đơn hàng, thông tin thanh toán (không bao gồm số tài khoản ngân hàng hoặc thẻ thanh toán đầy đủ — Sudo không lưu trữ thông tin này)
Thông tin kỹ thuật: Địa chỉ IP, loại trình duyệt, thiết bị truy cập khi sử dụng các hệ thống của Sudo
2.2. Mục đích sử dụng thông tin
Thông tin thu thập được sử dụng cho các mục đích sau:
Cung cấp, quản lý và vận hành các dịch vụ khách hàng đã đăng ký
Xác minh danh tính khi đăng ký tài khoản và ký kết hợp đồng dịch vụ
Liên lạc về tình trạng dịch vụ, thông báo kỹ thuật, hóa đơn và gia hạn
Hỗ trợ kỹ thuật khi khách hàng gửi yêu cầu
Tuân thủ nghĩa vụ pháp lý theo quy định của pháp luật Việt Nam
Cải thiện chất lượng dịch vụ dựa trên phản hồi và thống kê sử dụng (dưới dạng ẩn danh, tổng hợp)
Sudo không sử dụng thông tin cá nhân của khách hàng cho mục đích quảng cáo của bên thứ ba.
Điều 3: Dữ liệu lưu trữ trên hạ tầng Sudo (Hosting/Server/Phần mềm)
Đây là điều khoản đặc thù áp dụng cho khách hàng sử dụng dịch vụ hosting, VPS, server, phần mềm của Sudo.
3.1. Quyền sở hữu dữ liệu
Toàn bộ nội dung, cơ sở dữ liệu, tệp tin và dữ liệu khách hàng lưu trữ trên hạ tầng của Sudo ("Dữ liệu dịch vụ") là tài sản thuộc sở hữu của khách hàng. Sudo không có quyền sở hữu, sử dụng, sao chép hoặc tiết lộ Dữ liệu dịch vụ này cho bất kỳ bên nào.
3.2. Quyền truy cập của Sudo vào Dữ liệu dịch vụ
Nhân viên kỹ thuật của Sudo chỉ được phép truy cập vào Dữ liệu dịch vụ của khách hàng trong các trường hợp sau:
Khách hàng gửi yêu cầu hỗ trợ kỹ thuật có liên quan
Xử lý sự cố ảnh hưởng đến hoạt động của dịch vụ
Bảo trì hệ thống định kỳ (không tiếp cận nội dung dữ liệu)
Yêu cầu bắt buộc từ cơ quan nhà nước có thẩm quyền
Mọi hành vi truy cập dữ liệu khách hàng nằm ngoài các trường hợp trên đều bị nghiêm cấm và xử lý theo quy định nội bộ và pháp luật.
3.3. Backup và bảo vệ dữ liệu
Sudo thực hiện backup dữ liệu hosting định kỳ theo chính sách của từng gói dịch vụ (chi tiết tại trang mô tả gói dịch vụ tương ứng)
Backup được lưu trữ tách biệt khỏi môi trường production.
Sudo không đảm bảo việc backup thay thế hoàn toàn trách nhiệm lưu giữ dữ liệu của khách hàng — khách hàng được khuyến nghị tự sao lưu dữ liệu của mình định kỳ.
3.4. Xử lý dữ liệu khi hủy/kết thúc hợp đồng
Khi khách hàng hủy dịch vụ hoặc hợp đồng kết thúc:
Sudo thông báo cho khách hàng ít nhất 15 ngày trước khi hủy tài khoản
Khách hàng có 15 ngày kể từ ngày hủy để tải về toàn bộ dữ liệu
Sau thời hạn trên, Sudo xóa toàn bộ dữ liệu dịch vụ của khách hàng khỏi hệ thống trong vòng 30 ngày
Trong trường hợp khách hàng có yêu cầu xác nhận bằng văn bản, Sudo cung cấp giấy xác nhận đã xóa dữ liệu.
Điều 4: Bảo mật thông tin đăng nhập và bàn giao dự án
4.1. Trong quá trình thực hiện dịch vụ
Nhân viên Sudo chỉ sử dụng thông tin đăng nhập được cấp bởi khách hàng vào mục đích phát triển, cài đặt và kiểm thử theo phạm vi hợp đồng
Nghiêm cấm sao chép, chia sẻ hoặc sử dụng thông tin đăng nhập cho mục đích khác
4.2. Sau khi bàn giao
Sau khi bàn giao dự án, Sudo cam kết không lưu giữ mật khẩu admin hay thông tin đăng nhập của website/phần mềm khách hàng
Khách hàng nên đổi mật khẩu ngay sau khi nhận bàn giao
Nếu phát sinh nhu cầu bảo trì, nâng cấp về sau, khách hàng cung cấp quyền truy cập tạm thời và thu hồi sau khi hoàn thành
4.3. Khi nhân viên Sudo nghỉ việc
Sudo áp dụng quy trình thu hồi quyền truy cập của nhân viên nghỉ việc trong vòng 24 giờ kể từ ngày nghỉ việc có hiệu lực, đảm bảo không còn quyền truy cập vào hệ thống khách hàng và hạ tầng nội bộ.
Điều 5: Thời gian lưu trữ thông tin
Loại thông tin
Thời gian lưu trữ
Thông tin tài khoản khách hàng
Trong suốt thời gian sử dụng dịch vụ + 3 năm sau khi hủy
Hợp đồng và hóa đơn
10 năm (theo quy định kế toán - Luật Kế toán 2015)
Lịch sử giao dịch
2 năm
Dữ liệu dịch vụ (hosting, phần mềm)
Xóa trong vòng 30 ngày sau khi kết thúc hợp đồng (xem Điều 3.4)
Log kỹ thuật hệ thống
6 tháng
Yêu cầu hỗ trợ (ticket)
2 năm
Điều 6: Phương thức và công cụ khách hàng quản lý thông tin cá nhân
Mỗi khách hàng được cấp tài khoản tại hệ thống support.sudo.vn hoặc app.websiteai.cloud, thông qua đó có thể:
Xem, chỉnh sửa thông tin cá nhân và thông tin liên hệ
Xem lịch sử đơn hàng và hợp đồng dịch vụ
Tải xuống hóa đơn
Quản lý các dịch vụ đang sử dụng
Gửi yêu cầu xóa tài khoản hoặc dữ liệu
Chủ động tải về bản sao lưu dữ liệu.
Ngoài ra, khách hàng có thể liên hệ trực tiếp qua email info@sudo.vn hoặc hotline 0989.022.022 để yêu cầu hỗ trợ về dữ liệu cá nhân.
Điều 7: Quyền của khách hàng đối với dữ liệu cá nhân
Theo Nghị định 13/2023/NĐ-CP, khách hàng có các quyền sau:
Quyền biết: Được thông báo về việc thu thập và xử lý dữ liệu cá nhân của mình
Quyền đồng ý: Chấp thuận hoặc không chấp thuận cho Sudo xử lý dữ liệu cá nhân
Quyền truy cập: Xem và nhận bản sao dữ liệu cá nhân Sudo đang lưu trữ
Quyền chỉnh sửa: Yêu cầu cập nhật, sửa đổi thông tin không chính xác
Quyền xóa dữ liệu: Yêu cầu xóa dữ liệu cá nhân, trừ các trường hợp pháp luật yêu cầu lưu giữ
Quyền hạn chế xử lý: Yêu cầu tạm dừng việc sử dụng dữ liệu trong một số trường hợp
Quyền phản đối: Phản đối việc xử lý dữ liệu cho mục đích tiếp thị trực tiếp
Quyền khiếu nại: Gửi khiếu nại đến Sudo hoặc cơ quan nhà nước có thẩm quyền
Sudo xử lý các yêu cầu liên quan đến quyền dữ liệu trong vòng 72 giờ làm việc kể từ khi nhận được yêu cầu hợp lệ.
Điều 8: Bảo mật và an toàn thông tin
Sudo áp dụng các biện pháp kỹ thuật và tổ chức để bảo vệ dữ liệu, bao gồm:
Mã hóa: Mật khẩu được mã hóa một chiều (bcrypt/SHA); dữ liệu truyền tải qua giao thức HTTPS/TLS
Kiểm soát truy cập: Phân quyền theo chức năng — Phòng Kinh doanh, Phòng Kỹ thuật, Kế toán chỉ được truy cập thông tin trong phạm vi công việc được giao; nhân viên Kế toán chỉ xem được thông tin khách hàng mình phụ trách
Bảo vệ hạ tầng: Tường lửa, hệ thống chống DDoS, giám sát bất thường 24/7
Kiểm tra định kỳ: Rà soát bảo mật hệ thống định kỳ hàng quý
Đào tạo nhân sự: Nhân viên được đào tạo về quy trình bảo mật dữ liệu khi onboarding và định kỳ
Điều 9: Quy trình xử lý sự cố rò rỉ dữ liệu (Data Breach)
Trong trường hợp xảy ra sự cố rò rỉ, mất mát hoặc xâm phạm dữ liệu:
Sudo thông báo cho khách hàng bị ảnh hưởng trong vòng 72 giờ kể từ khi phát hiện sự cố
Thông báo bao gồm: mô tả sự cố, loại dữ liệu bị ảnh hưởng, hành động đã và đang thực hiện, đầu mối liên hệ hỗ trợ
Sudo báo cáo cơ quan nhà nước có thẩm quyền (Cục An toàn thông tin - Bộ TT&TT) theo quy định của Nghị định 13/2023/NĐ-CP
Sudo triển khai ngay các biện pháp ngăn chặn thiệt hại tiếp theo và phục hồi hệ thống
Sau khi xử lý, Sudo cung cấp báo cáo đầy đủ về nguyên nhân, phạm vi ảnh hưởng và biện pháp khắc phục
Điều 10: Chia sẻ thông tin với bên thứ ba
Sudo cam kết không bán, không cho thuê, không trao đổi thông tin cá nhân của khách hàng với bên thứ ba vì mục đích thương mại.
Sudo chỉ chia sẻ thông tin trong các trường hợp sau:
Đối tác vận hành dịch vụ: Một số nhà cung cấp hạ tầng (data center, payment gateway) có thể xử lý dữ liệu kỹ thuật theo hợp đồng bảo mật ràng buộc với Sudo. Các đối tác này không được phép sử dụng dữ liệu ngoài phạm vi cung cấp dịch vụ cho Sudo.
Yêu cầu pháp lý: Khi có yêu cầu bắt buộc từ cơ quan nhà nước có thẩm quyền theo đúng quy định pháp luật
Bảo vệ quyền lợi hợp pháp: Khi cần thiết để bảo vệ quyền lợi, tài sản hoặc sự an toàn của Sudo, khách hàng hoặc cộng đồng theo quy định pháp luật
Được sự đồng ý của khách hàng: Trường hợp khác chỉ thực hiện khi có sự chấp thuận rõ ràng bằng văn bản hoặc email
Điều 11: Liên kết đến trang web bên thứ ba
Website và dịch vụ của Sudo có thể chứa liên kết đến các website bên thứ ba. Sudo không chịu trách nhiệm về chính sách bảo mật hay nội dung của các website đó. Khách hàng nên đọc kỹ chính sách bảo mật của từng website trước khi cung cấp thông tin.
Điều 12: Sử dụng Cookie và công nghệ theo dõi
Các website của Sudo sử dụng cookie và các công nghệ tương tự để:
Duy trì phiên đăng nhập của khách hàng
Ghi nhớ tùy chọn cài đặt của người dùng
Phân tích thống kê truy cập (Google Analytics) nhằm cải thiện trải nghiệm
Khách hàng có thể tắt cookie trong cài đặt trình duyệt, tuy nhiên điều này có thể ảnh hưởng đến một số tính năng của dịch vụ.
Điều 13: Thay đổi chính sách bảo mật
Sudo có thể cập nhật Chính sách bảo mật này để phản ánh thay đổi về dịch vụ hoặc quy định pháp luật. Khi có thay đổi quan trọng:
Sudo thông báo đến địa chỉ email đăng ký của khách hàng ít nhất 30 ngày trước khi có hiệu lực
Thông báo rõ ràng về nội dung thay đổi
Khách hàng có quyền từ chối thay đổi và yêu cầu hủy dịch vụ mà không bị phạt nếu thay đổi gây bất lợi đáng kể
Ngày cập nhật cuối cùng luôn được ghi rõ ở đầu trang chính sách. Việc tiếp tục sử dụng dịch vụ sau ngày có hiệu lực được coi là đồng ý với chính sách mới.
Điều 14: Địa chỉ đơn vị thu thập và quản lý thông tin
Nếu không hài lòng với cách xử lý của Sudo, khách hàng có quyền khiếu nại đến Cục Cạnh tranh và Bảo vệ người tiêu dùng (VCCA) - Bộ Công Thương, hoặc Cục An toàn thông tin - Bộ Thông tin và Truyền thông theo quy định pháp luật hiện hành.
Chính sách bảo mật này có hiệu lực từ ngày [ngày cập nhật] và thay thế toàn bộ các phiên bản trước đó.