Chính sách bảo mật

Chính sách này mô tả cách AIpage WP ("Chúng tôi") thu thập, sử dụng, và bảo vệ dữ liệu cá nhân của bạn theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (Việt Nam) và GDPR (đối với khách EU/EEA).

1. Người chịu trách nhiệm

AIpage WP, vận hành tại aipage.vn. Liên hệ: support@aipage.vn.

2. Dữ liệu chúng tôi thu thập

2.1 Bạn cung cấp trực tiếp

• Email, tên, mật khẩu (hash bcrypt) khi đăng ký.
• Thông tin thanh toán xử lý qua Lemon Squeezy — chúng tôi KHÔNG lưu số thẻ.
• Thông tin ngân hàng khi yêu cầu rút commission (số tài khoản, ngân hàng, chủ TK).

2.2 Tự động thu thập

• Site activation: home_url, fingerprint (sha256 của UUID + đường dẫn + DB charset), IP, User-Agent, plugin/WP/PHP version.
• Heartbeat: lastHeartbeatAt, IP gần nhất.
• Audit log: mọi action quan trọng (activate, deactivate, refund, ban, ...).
• Cookie: aip_ref (affiliate referral, 90 ngày), session NextAuth.

3. Mục đích sử dụng

• Cấp + quản lý license, gửi welcome email, hóa đơn.
• Xác thực kích hoạt plugin, chống gian lận (UUID collision, brute force).
• Tính + chi trả commission affiliate.
• Hỗ trợ khách hàng + giải quyết tranh chấp.
• Cải thiện dịch vụ (telemetry tổng hợp, không cá nhân hóa).

4. Cơ sở pháp lý xử lý dữ liệu (GDPR)

• Hợp đồng: cung cấp license, dashboard, plugin (Art. 6(1)(b) GDPR).
• Lợi ích chính đáng: chống gian lận, bảo mật, telemetry tổng hợp (Art. 6(1)(f)).
• Đồng ý: cookie marketing (nếu có triển khai sau), email marketing (opt-in).
• Nghĩa vụ pháp lý: lưu giao dịch tài chính theo luật thuế VN.

5. Bên xử lý dữ liệu (sub-processors)

Lưu ý quan trọng về AI: AIpage WP plugin gọi AI provider trực tiếp từ site WordPress của khách bằng API key khách tự nhập. Chúng tôi KHÔNG nhận hoặc lưu nội dung khách gửi cho AI.

6. Cookie

• authjs.session-token — đăng nhập (HttpOnly, Secure).
• aip_ref — affiliate referral, 90 ngày, không nhạy cảm.
• NEXT_LOCALE — ngôn ngữ ưa thích (vi/en).

Hiện không dùng cookie quảng cáo, tracking pixel, hoặc Google Analytics.

7. Lưu trữ + thời gian giữ

8. Quyền của bạn

Theo Nghị định 13/2023/NĐ-CP và GDPR, bạn có quyền:

• Truy cập: tải toàn bộ data cá nhân qua /dashboard/settings → Tải JSON.
• Sửa đổi: edit name, email, locale trực tiếp trong settings.
• Xóa: nút "Xóa tài khoản" trong settings (soft delete + anonymize).
• Hạn chế xử lý: liên hệ support@aipage.vn để yêu cầu.
• Phản đối: opt-out marketing email qua link unsubscribe.
• Khiếu nại: lên cơ quan quản lý dữ liệu (Bộ Công an Cục An ninh mạng tại VN, hoặc DPA địa phương EU).

9. Bảo mật

• Password hash bcrypt 10 rounds.
• API token mã hóa AES-256-GCM trên plugin side.
• JWT activation token expire 90 ngày, auto-renew qua heartbeat.
• 2FA TOTP optional cho mọi tài khoản.
• HTTPS bắt buộc, HSTS enabled.
• Plugin update verify SHA256 chống MITM.
• Webhook revoke verify HMAC.

10. Chuyển dữ liệu quốc tế

Một số sub-processor vận hành ngoài Việt Nam (Vercel, Resend, Lemon, AI providers). Việc chuyển dữ liệu được bảo vệ bằng các điều khoản hợp đồng tiêu chuẩn (SCC) của EU và biện pháp kỹ thuật (mã hóa truyền + lưu trữ).

11. Trẻ em

Dịch vụ không dành cho trẻ em dưới 16 tuổi. Nếu bạn dưới 16, vui lòng không đăng ký. Phụ huynh phát hiện con đã đăng ký, liên hệ support@aipage.vn để xóa.

12. Thay đổi chính sách

Cập nhật chính sách sẽ được thông báo qua email tối thiểu 14 ngày trước khi áp dụng. Tiếp tục dùng dịch vụ = đồng ý.

13. Liên hệ DPO

Email: support@aipage.vn(đặt tiêu đề "[Privacy] Yêu cầu...").