CHÍNH SÁCH BẢO MẬT

Công ty TNHH MangoAds

Ứng dụng Quản lý Chiến dịch Quảng cáo

Ngày có hiệu lực: 20 tháng 01 năm 2025

Cập nhật lần cuối: 20 tháng 01 năm 2025

Phiên bản tài liệu: 1.0

 

 

1. Giới thiệu

1.1 Về Chính sách Bảo mật này

Công ty TNHH MangoAds ("MangoAds", "Công ty", "chúng tôi") cam kết bảo vệ quyền riêng tư và bảo mật thông tin được thu thập thông qua ứng dụng web quản lý chiến dịch của chúng tôi ("Ứng dụng"). Chính sách Bảo mật này mô tả các thực tiễn của chúng tôi liên quan đến việc thu thập, sử dụng, lưu trữ, tiết lộ và bảo vệ thông tin khi bạn truy cập hoặc sử dụng Ứng dụng của chúng tôi.

Chính sách Bảo mật này áp dụng cho tất cả người dùng truy cập hoặc sử dụng Ứng dụng của chúng tôi, bao gồm nhân viên, nhà thầu và nhân sự được ủy quyền của Công ty TNHH MangoAds. Ứng dụng tích hợp với nhiều nền tảng quảng cáo khác nhau, bao gồm nhưng không giới hạn ở Meta (Facebook/Instagram), Google Ads, TikTok Ads và các mạng quảng cáo kỹ thuật số khác thông qua các Giao diện Lập trình Ứng dụng (API) tương ứng.

Chúng tôi đã xây dựng Chính sách Bảo mật này phù hợp với các luật bảo vệ dữ liệu áp dụng của Việt Nam, bao gồm nhưng không giới hạn ở Luật An ninh mạng 2018, Luật Công nghệ Thông tin 2006, Nghị định số 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân và các quy định liên quan khác. Khi có thể áp dụng, chúng tôi cũng xem xét các tiêu chuẩn quốc tế như Quy định Bảo vệ Dữ liệu Chung (GDPR) của Liên minh Châu Âu.

1.2 Mục đích của Tài liệu này

Mục đích của Chính sách Bảo mật này là:

•       Thông báo cho bạn về các loại thông tin chúng tôi thu thập thông qua Ứng dụng

•       Giải thích cách chúng tôi sử dụng, xử lý và bảo vệ thông tin của bạn

•       Mô tả quyền của bạn liên quan đến thông tin cá nhân

•       Nêu rõ các thực tiễn lưu giữ và xóa dữ liệu của chúng tôi

•       Cung cấp thông tin về tích hợp bên thứ ba và chia sẻ dữ liệu

•       Giải thích việc tuân thủ các luật và quy định bảo vệ dữ liệu áp dụng

•       Chi tiết về các biện pháp bảo mật và quy trình ứng phó vi phạm dữ liệu

1.3 Phạm vi Áp dụng

Chính sách Bảo mật này áp dụng cho:

•       Tất cả dữ liệu được thu thập thông qua Ứng dụng

•       Tất cả người dùng truy cập hoặc tương tác với Ứng dụng

•       Tất cả dữ liệu có được từ các nền tảng quảng cáo bên thứ ba tích hợp

•       Tất cả hoạt động xử lý dữ liệu do MangoAds thực hiện liên quan đến Ứng dụng

•       Tất cả thiết bị và hệ thống được sử dụng để truy cập Ứng dụng

Chính sách Bảo mật này không áp dụng cho các trang web, ứng dụng hoặc dịch vụ của bên thứ ba có thể được liên kết hoặc tích hợp với Ứng dụng của chúng tôi. Chúng tôi khuyến khích bạn xem xét các chính sách bảo mật của bất kỳ dịch vụ bên thứ ba nào bạn truy cập thông qua Ứng dụng của chúng tôi.

1.4 Chấp nhận Chính sách này

Bằng việc truy cập hoặc sử dụng Ứng dụng của chúng tôi, bạn xác nhận rằng bạn đã đọc, hiểu và đồng ý bị ràng buộc bởi Chính sách Bảo mật này. Nếu bạn không đồng ý với bất kỳ phần nào của Chính sách Bảo mật này, bạn không được truy cập hoặc sử dụng Ứng dụng. Việc bạn tiếp tục sử dụng Ứng dụng sau khi đăng bất kỳ thay đổi nào đối với Chính sách Bảo mật này cấu thành sự chấp nhận của bạn đối với những thay đổi đó.

Nếu bạn truy cập hoặc sử dụng Ứng dụng thay mặt cho một tổ chức, bạn đại diện và đảm bảo rằng bạn có thẩm quyền ràng buộc tổ chức đó với Chính sách Bảo mật này, và thỏa thuận của bạn với các điều khoản này sẽ được coi là thỏa thuận của tổ chức đó.

 

 

2. Định nghĩa và Thuật ngữ

Vì mục đích của Chính sách Bảo mật này, các thuật ngữ sau đây sẽ có ý nghĩa được quy định dưới đây:

2.1 Thuật ngữ Chung

"Ứng dụng" đề cập đến ứng dụng web quản lý chiến dịch được vận hành bởi Công ty TNHH MangoAds, bao gồm tất cả các tính năng, chức năng và dịch vụ được cung cấp thông qua ứng dụng.

"Dữ liệu Chiến dịch" đề cập đến thông tin liên quan đến các chiến dịch quảng cáo được quản lý thông qua Ứng dụng, bao gồm nhưng không giới hạn ở cấu hình chiến dịch, chỉ số hiệu suất, tham số nhắm mục tiêu, phân bổ ngân sách và thông tin nội dung sáng tạo.

"Bên Kiểm soát Dữ liệu" đề cập đến Công ty TNHH MangoAds, thực thể xác định mục đích và phương tiện xử lý dữ liệu cá nhân được thu thập thông qua Ứng dụng.

"Bên Xử lý Dữ liệu" đề cập đến bất kỳ thực thể nào xử lý dữ liệu cá nhân thay mặt cho Bên Kiểm soát Dữ liệu, bao gồm các nhà cung cấp dịch vụ bên thứ ba và nhà cung cấp dịch vụ lưu trữ đám mây.

"Chủ thể Dữ liệu" đề cập đến một người thực được xác định hoặc có thể xác định mà dữ liệu cá nhân của họ được Ứng dụng xử lý.

"Dữ liệu Cá nhân" đề cập đến bất kỳ thông tin nào liên quan đến một người thực được xác định hoặc có thể xác định, bao gồm nhưng không giới hạn ở tên, số nhận dạng, dữ liệu vị trí, mã định danh trực tuyến, hoặc các yếu tố cụ thể cho danh tính thể chất, sinh lý, di truyền, tinh thần, kinh tế, văn hóa hoặc xã hội của người đó.

"Xử lý" đề cập đến bất kỳ hoạt động hoặc tập hợp các hoạt động nào được thực hiện trên dữ liệu cá nhân, dù có hay không bằng phương tiện tự động, bao gồm thu thập, ghi lại, tổ chức, cấu trúc, lưu trữ, thích ứng, thay đổi, truy xuất, tham vấn, sử dụng, tiết lộ, phổ biến, căn chỉnh, kết hợp, hạn chế, xóa hoặc hủy.

"Dữ liệu Cá nhân Nhạy cảm" đề cập đến dữ liệu cá nhân tiết lộ nguồn gốc chủng tộc hoặc dân tộc, quan điểm chính trị, tín ngưỡng tôn giáo hoặc triết học, tư cách thành viên công đoàn, dữ liệu di truyền, dữ liệu sinh trắc học, dữ liệu sức khỏe, hoặc dữ liệu liên quan đến đời sống tình dục hoặc xu hướng tính dục của một người.

2.2 Thuật ngữ Kỹ thuật

"API" (Giao diện Lập trình Ứng dụng) đề cập đến một tập hợp các giao thức, quy trình và công cụ để xây dựng các ứng dụng phần mềm, chỉ định cách các thành phần phần mềm nên tương tác, cho phép trao đổi dữ liệu giữa các hệ thống khác nhau.

"Xác thực" đề cập đến quá trình xác minh danh tính của người dùng, thiết bị hoặc hệ thống cố gắng truy cập Ứng dụng.

"Ủy quyền" đề cập đến quá trình xác định liệu người dùng đã xác thực có quyền truy cập các tài nguyên cụ thể hoặc thực hiện các hành động cụ thể trong Ứng dụng hay không.

"Cookie" đề cập đến các tệp văn bản nhỏ được trình duyệt web lưu trữ trên thiết bị của người dùng, chứa thông tin về hoạt động duyệt web của người dùng. Lưu ý: Ứng dụng của chúng tôi không sử dụng cookie.

"Mã hóa" đề cập đến quá trình chuyển đổi dữ liệu thành định dạng được mã hóa chỉ có thể truy cập bằng khóa giải mã được ủy quyền, được sử dụng để bảo vệ tính bảo mật của dữ liệu.

"Nền tảng Meta" đề cập đến bộ sản phẩm và dịch vụ được vận hành bởi Meta Platforms, Inc. (trước đây là Facebook, Inc.), bao gồm Facebook, Instagram, WhatsApp và các nền tảng quảng cáo liên quan.

"Marketing API" đề cập đến giao diện lập trình ứng dụng do Meta cung cấp cho phép các ứng dụng được ủy quyền truy cập và quản lý các chiến dịch quảng cáo trên nền tảng của Meta.

"Máy chủ" đề cập đến một hệ thống máy tính hoặc phần mềm cung cấp dịch vụ, dữ liệu hoặc tài nguyên cho các máy tính hoặc chương trình khác qua mạng.

"SSL/TLS" (Secure Sockets Layer/Transport Layer Security) đề cập đến các giao thức mật mã được thiết kế để cung cấp liên lạc an toàn qua mạng máy tính.

2.3 Thuật ngữ Pháp lý và Quy định

"Sự đồng ý" đề cập đến một biểu thị tự do, cụ thể, được thông báo và rõ ràng về mong muốn của chủ thể dữ liệu, qua đó họ biểu thị sự đồng ý với việc xử lý dữ liệu cá nhân của họ.

"Vi phạm Dữ liệu" đề cập đến một sự cố bảo mật trong đó dữ liệu cá nhân bị truy cập, tiết lộ, hủy, mất, thay đổi hoặc không khả dụng mà không được phép.

"Đánh giá Tác động Bảo vệ Dữ liệu" (DPIA) đề cập đến một quy trình được thiết kế để xác định và giảm thiểu các rủi ro bảo vệ dữ liệu của một dự án hoặc kế hoạch.

"GDPR" (Quy định Bảo vệ Dữ liệu Chung) đề cập đến Quy định (EU) 2016/679 của Nghị viện và Hội đồng Châu Âu, điều chỉnh việc bảo vệ dữ liệu và quyền riêng tư trong Liên minh Châu Âu và Khu vực Kinh tế Châu Âu.

"Lợi ích Hợp pháp" đề cập đến cơ sở pháp lý để xử lý dữ liệu cá nhân khi việc xử lý là cần thiết cho các mục đích của lợi ích hợp pháp được theo đuổi bởi bên kiểm soát dữ liệu hoặc bên thứ ba, trừ khi các lợi ích đó bị lấn át bởi lợi ích hoặc quyền và tự do cơ bản của chủ thể dữ liệu.

"PDPA" đề cập đến các quy định bảo vệ dữ liệu cá nhân của Việt Nam, bao gồm Nghị định số 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân và các văn bản pháp lý liên quan.

 

 

3. Thông tin Chúng tôi Thu thập

Phần này cung cấp tổng quan toàn diện về các loại thông tin chúng tôi thu thập thông qua Ứng dụng, nguồn của thông tin đó và mục đích thu thập.

3.1 Dữ liệu Chiến dịch từ các Nền tảng Quảng cáo

Thông qua tích hợp của chúng tôi với Meta Marketing API và các nền tảng quảng cáo khác, chúng tôi truy cập và xử lý nhiều loại dữ liệu liên quan đến chiến dịch. Dữ liệu này rất cần thiết để cung cấp chức năng cốt lõi của Ứng dụng và cho phép người dùng quản lý các chiến dịch quảng cáo của họ một cách hiệu quả.

3.1.1 Dữ liệu Chiến dịch Meta (Facebook/Instagram)

Khi kết nối với Marketing API của Meta, chúng tôi thu thập các danh mục dữ liệu sau:

•       Dữ liệu Cấu trúc Chiến dịch: Tên chiến dịch, ID chiến dịch, mục tiêu chiến dịch, trạng thái chiến dịch, cấu hình nhóm quảng cáo, thông tin nội dung quảng cáo và mối quan hệ phân cấp giữa chiến dịch, nhóm quảng cáo và quảng cáo.

•       Chỉ số Hiệu suất: Lượt hiển thị, phạm vi tiếp cận, tần suất, nhấp chuột, tỷ lệ nhấp chuột (CTR), chuyển đổi, tỷ lệ chuyển đổi, chi phí mỗi nhấp chuột (CPC), chi phí mỗi nghìn lượt hiển thị (CPM), chi phí mỗi chuyển đổi (CPA), lợi tức chi tiêu quảng cáo (ROAS) và các chỉ số hiệu suất khác.

•       Dữ liệu Ngân sách và Chi tiêu: Ngân sách hàng ngày, ngân sách trọn đời, số tiền đã chi, ngân sách còn lại, chiến lược đấu giá và mô hình chi tiêu theo thời gian.

•       Thông tin Nhắm mục tiêu: Các tham số nhắm mục tiêu đối tượng bao gồm nhân khẩu học (tuổi, giới tính, vị trí), sở thích, hành vi, đối tượng tùy chỉnh (ở dạng tổng hợp) và cấu hình đối tượng tương tự.

•       Dữ liệu Lịch trình: Ngày bắt đầu, ngày kết thúc chiến dịch, cấu hình lịch quảng cáo và cài đặt múi giờ.

•       Dữ liệu Vị trí: Thông tin về nơi quảng cáo được hiển thị, bao gồm Facebook News Feed, Instagram Feed, Stories, Messenger, Audience Network và các vị trí khác.

3.1.2 Dữ liệu Chiến dịch Google Ads

Khi kết nối với Google Ads API, chúng tôi có thể thu thập các danh mục dữ liệu sau:

•       Cấu trúc Chiến dịch và Nhóm Quảng cáo: Tên chiến dịch, ID, loại (Tìm kiếm, Hiển thị, Video, Mua sắm), cấu hình nhóm quảng cáo và nhắm mục tiêu từ khóa.

•       Chỉ số Hiệu suất: Lượt hiển thị, nhấp chuột, chuyển đổi, dữ liệu chi phí, điểm chất lượng, thứ hạng quảng cáo và tỷ lệ hiển thị tìm kiếm.

•       Thông tin Đấu giá và Ngân sách: Chiến lược đấu giá, điều chỉnh giá thầu, ngân sách hàng ngày và dữ liệu chi tiêu.

•       Cài đặt Nhắm mục tiêu: Nhắm mục tiêu địa lý, nhắm mục tiêu thiết bị, phân khúc đối tượng và cấu hình lịch trình.

3.1.3 Dữ liệu Chiến dịch TikTok Ads

Khi kết nối với TikTok Marketing API, chúng tôi có thể thu thập các danh mục dữ liệu sau:

•       Thông tin Chiến dịch: Tên chiến dịch, mục tiêu, trạng thái và cấu hình nhóm quảng cáo.

•       Dữ liệu Hiệu suất: Lượt xem video, chỉ số tương tác, dữ liệu nhấp chuột, dữ liệu chuyển đổi và chỉ số chi phí.

•       Nhắm mục tiêu Đối tượng: Nhắm mục tiêu nhân khẩu học, nhắm mục tiêu sở thích và các tham số nhắm mục tiêu hành vi.

•       Dữ liệu Sáng tạo: Thông tin định dạng quảng cáo, thông số kỹ thuật video và chỉ số hiệu suất sáng tạo.

3.1.4 Các Nền tảng Quảng cáo Khác

Chúng tôi có thể tích hợp với các nền tảng quảng cáo bổ sung trong tương lai, bao gồm nhưng không giới hạn ở LinkedIn Ads, Twitter Ads, Pinterest Ads và các nền tảng quảng cáo lập trình. Đối với mỗi tích hợp, chúng tôi sẽ thu thập các danh mục dữ liệu chiến dịch và hiệu suất tương tự như được mô tả ở trên, giới hạn ở những gì cần thiết cho chức năng của Ứng dụng.

3.2 Thông tin Tài khoản và Xác thực

Khi người dùng được ủy quyền truy cập Ứng dụng, chúng tôi thu thập một số thông tin tài khoản và xác thực cần thiết cho việc truy cập hệ thống và bảo mật:

•       Nhận dạng Người dùng: Họ tên đầy đủ, ID nhân viên, chức danh công việc và đơn vị công tác.

•       Thông tin Liên hệ: Địa chỉ email công ty và số điện thoại (nếu được cung cấp).

•       Thông tin Xác thực: Mật khẩu được mã hóa, mã xác thực đa yếu tố và mã định danh phiên.

•       Quyền Truy cập: Thông tin kiểm soát truy cập dựa trên vai trò, cấp độ quyền và các tính năng được ủy quyền.

•       Lịch sử Đăng nhập: Dấu thời gian của các lần đăng nhập, đăng nhập thành công và sự kiện đăng xuất.

3.3 Thông tin Kỹ thuật và Sử dụng

Chúng tôi tự động thu thập một số thông tin kỹ thuật và sử dụng khi bạn truy cập hoặc sử dụng Ứng dụng:

•       Thông tin Thiết bị: Loại thiết bị, hệ điều hành, loại và phiên bản trình duyệt, độ phân giải màn hình và mã định danh thiết bị.

•       Thông tin Mạng: Địa chỉ IP, nhà cung cấp dịch vụ internet và loại kết nối mạng.

•       Dữ liệu Sử dụng: Các trang được truy cập, các tính năng được sử dụng, các hành động được thực hiện trong Ứng dụng, thời gian dành cho các phần khác nhau và mô hình điều hướng.

•       Dữ liệu Lỗi và Chẩn đoán: Nhật ký lỗi, báo cáo sự cố và dữ liệu hiệu suất hệ thống được sử dụng để khắc phục sự cố và cải thiện.

3.4 Thông tin Chúng tôi KHÔNG Thu thập

Chúng tôi muốn minh bạch về các loại thông tin chúng tôi KHÔNG thu thập thông qua Ứng dụng:

•       Cookie và Pixel Theo dõi: Ứng dụng của chúng tôi không sử dụng cookie, web beacon, pixel theo dõi hoặc các công nghệ tương tự để theo dõi hành vi người dùng trên các trang web.

•       Dữ liệu Cá nhân của Người xem Quảng cáo: Chúng tôi không thu thập hoặc có quyền truy cập vào thông tin cá nhân về các cá nhân xem hoặc tương tác với các quảng cáo được quản lý thông qua Ứng dụng.

•       Dữ liệu Cá nhân Nhạy cảm: Chúng tôi không thu thập dữ liệu cá nhân nhạy cảm như nguồn gốc chủng tộc hoặc dân tộc, quan điểm chính trị, tín ngưỡng tôn giáo, dữ liệu sức khỏe hoặc dữ liệu sinh trắc học.

•       Thông tin Tài chính: Chúng tôi không thu thập số thẻ thanh toán, chi tiết tài khoản ngân hàng hoặc thông tin tài chính khác từ người dùng.

•       Dữ liệu Vị trí: Chúng tôi không thu thập dữ liệu vị trí địa lý chính xác từ thiết bị của người dùng.

•       Thông tin Đăng nhập Mạng xã hội: Chúng tôi không lưu trữ mật khẩu mạng xã hội cá nhân của người dùng; xác thực được xử lý thông qua các giao thức OAuth an toàn.

 

 

4. Bản đồ Dữ liệu và Luồng Thông tin

Phần này cung cấp tổng quan chi tiết về cách dữ liệu lưu chuyển qua Ứng dụng của chúng tôi, bao gồm nguồn dữ liệu, hoạt động xử lý và vị trí lưu trữ.

4.1 Nguồn Thu thập Dữ liệu

Bảng sau tóm tắt các nguồn mà chúng tôi thu thập dữ liệu:

Nguồn Dữ liệu	Loại Dữ liệu	Phương thức Thu thập
Meta Marketing API	Dữ liệu chiến dịch, chỉ số hiệu suất, dữ liệu ngân sách	Yêu cầu API với xác thực OAuth
Google Ads API	Dữ liệu chiến dịch, từ khóa, dữ liệu hiệu suất	Yêu cầu API với xác thực OAuth
TikTok Marketing API	Dữ liệu chiến dịch, chỉ số video, dữ liệu đối tượng	Yêu cầu API với xác thực OAuth
Nhập liệu Người dùng	Thông tin tài khoản, tùy chọn, cài đặt	Nhập trực tiếp qua giao diện Ứng dụng
Nhật ký Hệ thống	Nhật ký truy cập, nhật ký lỗi, dấu vết kiểm toán	Ghi nhật ký tự động của hệ thống

 

4.2 Mô tả Sơ đồ Luồng Dữ liệu

Luồng dữ liệu thông qua Ứng dụng của chúng tôi tuân theo các giai đoạn sau:

•       Giai đoạn 1 - Xác thực: Người dùng xác thực bằng thông tin đăng nhập công ty. Dữ liệu xác thực được xác minh với hệ thống quản lý danh tính của chúng tôi.

•       Giai đoạn 2 - Kết nối Nền tảng: Người dùng ủy quyền kết nối với các nền tảng quảng cáo thông qua giao thức OAuth. Mã ủy quyền được lưu trữ an toàn.

•       Giai đoạn 3 - Truy xuất Dữ liệu: Ứng dụng yêu cầu dữ liệu chiến dịch từ các nền tảng được kết nối thông qua API tương ứng.

•       Giai đoạn 4 - Xử lý Dữ liệu: Dữ liệu được truy xuất được xử lý, chuẩn hóa và tổng hợp để hiển thị và phân tích.

•       Giai đoạn 5 - Lưu trữ Dữ liệu: Dữ liệu đã xử lý được mã hóa và lưu trữ trên các máy chủ an toàn tại Việt Nam.

•       Giai đoạn 6 - Trình bày Dữ liệu: Người dùng truy cập dữ liệu đã xử lý thông qua bảng điều khiển và các tính năng báo cáo của Ứng dụng.

•       Giai đoạn 7 - Lưu trữ/Xóa Dữ liệu: Dữ liệu được lưu trữ hoặc xóa theo chính sách lưu giữ của chúng tôi.

 

 

5. Cách Chúng tôi Sử dụng Thông tin

Phần này giải thích chi tiết cách chúng tôi sử dụng thông tin được thu thập thông qua Ứng dụng.

5.1 Mục đích Chính

Chúng tôi sử dụng thông tin thu thập được cho các mục đích chính sau:

5.1.1 Dịch vụ Quản lý Chiến dịch

•       Cung cấp quyền truy cập tập trung vào dữ liệu chiến dịch từ nhiều nền tảng quảng cáo

•       Cho phép người dùng xem, giám sát và phân tích hiệu suất chiến dịch

•       Tạo báo cáo và bảng điều khiển tổng hợp

•       Hỗ trợ tối ưu hóa chiến dịch thông qua những hiểu biết dựa trên dữ liệu

•       Hỗ trợ tự động hóa quy trình làm việc và cải thiện hiệu quả

5.1.2 Phân tích Hiệu suất và Báo cáo

•       Tính toán các chỉ số hiệu suất chính (KPI) và số liệu

•       Tạo báo cáo tùy chỉnh theo yêu cầu của người dùng

•       Xác định xu hướng và mô hình trong hiệu suất chiến dịch

•       So sánh hiệu suất giữa các chiến dịch và nền tảng khác nhau

•       Cung cấp so sánh hiệu suất lịch sử

5.1.3 Trí tuệ Kinh doanh

•       Tổng hợp dữ liệu để lập kế hoạch chiến lược và ra quyết định

•       Tạo hiểu biết để cải thiện hiệu quả quảng cáo

•       Hỗ trợ phân bổ ngân sách và lập kế hoạch nguồn lực

•       Xác định cơ hội tối ưu hóa chiến dịch

5.2 Mục đích Phụ

Ngoài các mục đích chính, chúng tôi có thể sử dụng thông tin cho các mục đích phụ sau:

5.2.1 Cải thiện Ứng dụng

•       Phân tích mô hình sử dụng để cải thiện các tính năng và chức năng của Ứng dụng

•       Xác định và sửa lỗi, lỗi và vấn đề hiệu suất

•       Phát triển các tính năng mới dựa trên nhu cầu và phản hồi của người dùng

•       Tối ưu hóa hiệu suất Ứng dụng và trải nghiệm người dùng

5.2.2 Bảo mật và Tuân thủ

•       Giám sát truy cập trái phép và các mối đe dọa bảo mật

•       Duy trì dấu vết kiểm toán cho mục đích tuân thủ

•       Điều tra và ứng phó với các sự cố bảo mật

•       Đảm bảo tuân thủ các yêu cầu pháp lý và quy định

5.3 Cơ sở Pháp lý cho Việc Xử lý

Chúng tôi xử lý dữ liệu cá nhân dựa trên các cơ sở pháp lý sau:

•       Sự đồng ý: Khi bạn đã đưa ra sự đồng ý rõ ràng cho các hoạt động xử lý cụ thể.

•       Lợi ích Hợp pháp: Khi việc xử lý là cần thiết cho lợi ích kinh doanh hợp pháp của chúng tôi, chẳng hạn như cải thiện dịch vụ, đảm bảo bảo mật và vận hành kinh doanh hiệu quả.

•       Nghĩa vụ Pháp lý: Khi việc xử lý là cần thiết để tuân thủ các yêu cầu pháp lý hoặc quy định.

•       Thực hiện Hợp đồng: Khi việc xử lý là cần thiết để thực hiện các thỏa thuận dịch vụ của chúng tôi.

5.4 Những gì Chúng tôi KHÔNG Sử dụng Thông tin

Chúng tôi muốn làm rõ cách chúng tôi KHÔNG sử dụng thông tin của bạn:

•       Chúng tôi KHÔNG bán, cho thuê hoặc cho mượn thông tin của bạn cho bên thứ ba cho mục đích tiếp thị của họ.

•       Chúng tôi KHÔNG sử dụng thông tin của bạn cho việc ra quyết định tự động có tác động pháp lý hoặc tương tự đáng kể mà không có sự giám sát của con người.

•       Chúng tôi KHÔNG sử dụng dữ liệu chiến dịch cho các mục đích không liên quan đến chức năng của Ứng dụng.

•       Chúng tôi KHÔNG chia sẻ thông tin của bạn với bên thứ ba để sử dụng độc lập trừ khi được mô tả trong Chính sách Bảo mật này.

 

 

6. Lưu trữ và Bảo mật Dữ liệu

Chúng tôi coi trọng việc bảo mật và bảo vệ thông tin của bạn. Phần này mô tả các thực tiễn lưu trữ dữ liệu và các biện pháp bảo mật chúng tôi triển khai để bảo vệ thông tin của bạn.

6.1 Vị trí Lưu trữ Dữ liệu

Tất cả dữ liệu được thu thập và xử lý thông qua Ứng dụng được lưu trữ trên các máy chủ đặt tại lãnh thổ Cộng hòa Xã hội Chủ nghĩa Việt Nam. Các cơ sở trung tâm dữ liệu của chúng tôi đáp ứng các tiêu chuẩn ngành về bảo mật vật lý, kiểm soát môi trường và quy trình vận hành.

Bằng việc lưu trữ dữ liệu tại Việt Nam, chúng tôi đảm bảo tuân thủ các yêu cầu bản địa hóa dữ liệu của Việt Nam và duy trì kiểm soát chủ quyền dữ liệu. Cơ sở hạ tầng lưu trữ của chúng tôi được cung cấp bởi các nhà cung cấp uy tín duy trì các chứng nhận bảo mật và tiêu chuẩn tuân thủ phù hợp.

6.2 Các Biện pháp Bảo mật Kỹ thuật

Chúng tôi triển khai các biện pháp bảo mật kỹ thuật toàn diện để bảo vệ thông tin của bạn:

6.2.1 Mã hóa

•       Dữ liệu trong Quá trình Truyền: Tất cả dữ liệu được truyền giữa người dùng và máy chủ của chúng tôi được mã hóa bằng giao thức TLS 1.3 hoặc cao hơn. Điều này đảm bảo dữ liệu không thể bị chặn hoặc đọc bởi các bên trái phép trong quá trình truyền.

•       Dữ liệu tại Chỗ: Dữ liệu được lưu trữ được mã hóa bằng mã hóa AES-256, một thuật toán mã hóa tiêu chuẩn ngành. Khóa mã hóa được quản lý an toàn và xoay vòng thường xuyên.

•       Mã hóa Cơ sở Dữ liệu: Các trường cơ sở dữ liệu chứa thông tin nhạy cảm được mã hóa ở cấp độ cột, cung cấp một lớp bảo vệ bổ sung.

6.2.2 Kiểm soát Truy cập

•       Kiểm soát Truy cập Dựa trên Vai trò (RBAC): Quyền truy cập vào dữ liệu và các tính năng Ứng dụng được kiểm soát dựa trên vai trò và trách nhiệm của người dùng. Người dùng chỉ có thể truy cập dữ liệu cần thiết cho chức năng công việc của họ.

•       Xác thực Đa yếu tố (MFA): Chúng tôi hỗ trợ và khuyến khích sử dụng xác thực đa yếu tố cho tài khoản người dùng, thêm một lớp bảo mật bổ sung ngoài mật khẩu.

•       Quản lý Phiên: Phiên người dùng được quản lý an toàn với các khoảng thời gian hết hạn phù hợp. Phiên bị vô hiệu khi đăng xuất và sau các khoảng thời gian không hoạt động.

•       Xác thực API: Tất cả các yêu cầu API được xác thực bằng mã thông báo an toàn với thời hạn hiệu lực hạn chế.

6.2.3 Bảo mật Mạng

•       Tường lửa: Cơ sở hạ tầng của chúng tôi được bảo vệ bởi tường lửa cấp doanh nghiệp giám sát và kiểm soát lưu lượng mạng đến và đi.

•       Hệ thống Phát hiện/Ngăn chặn Xâm nhập (IDS/IPS): Chúng tôi sử dụng các hệ thống để phát hiện và ngăn chặn các nỗ lực truy cập trái phép và các hoạt động độc hại.

•       Bảo vệ DDoS: Chúng tôi có các biện pháp để giảm thiểu các cuộc tấn công từ chối dịch vụ phân tán.

•       Phân đoạn Mạng: Mạng của chúng tôi được phân đoạn để cô lập các thành phần khác nhau và hạn chế tác động tiềm ẩn của các vi phạm bảo mật.

6.3 Các Biện pháp Bảo mật Tổ chức

Ngoài các biện pháp kỹ thuật, chúng tôi triển khai các thực tiễn bảo mật tổ chức:

6.3.1 Bảo mật Nhân sự

•       Kiểm tra Lý lịch: Nhân viên có quyền truy cập vào dữ liệu nhạy cảm phải trải qua kiểm tra lý lịch phù hợp.

•       Đào tạo Bảo mật: Tất cả nhân viên được đào tạo thường xuyên về bảo vệ dữ liệu, nhận thức bảo mật và quy trình ứng phó sự cố.

•       Thỏa thuận Bảo mật: Nhân viên được yêu cầu ký các thỏa thuận bảo mật như một điều kiện làm việc.

•       Đánh giá Quyền Truy cập: Quyền truy cập của người dùng được xem xét định kỳ và thu hồi nhanh chóng khi không còn cần thiết.

6.3.2 Bảo mật Vật lý

•       Bảo mật Trung tâm Dữ liệu: Các trung tâm dữ liệu của chúng tôi được bảo vệ bởi nhiều lớp bảo mật vật lý, bao gồm kiểm soát truy cập, hệ thống giám sát và nhân viên bảo vệ.

•       Bảo mật Văn phòng: Quyền truy cập vào văn phòng của chúng tôi được kiểm soát thông qua thẻ từ và hệ thống quản lý khách.

•       Bảo mật Thiết bị: Thiết bị công ty được bảo mật bằng mã hóa, bảo vệ mật khẩu và khả năng xóa từ xa.

6.4 Sao lưu và Khôi phục Dữ liệu

Chúng tôi duy trì các quy trình sao lưu và khôi phục toàn diện để đảm bảo tính khả dụng và toàn vẹn của dữ liệu:

•       Sao lưu Thường xuyên: Dữ liệu được sao lưu thường xuyên theo lịch trình đã định.

•       Mã hóa Sao lưu: Tất cả dữ liệu sao lưu được mã hóa theo cùng tiêu chuẩn như dữ liệu sản xuất.

•       Lưu trữ Ngoài Địa điểm: Các bản sao lưu được lưu trữ tại các vị trí địa lý riêng biệt để bảo vệ chống lại thảm họa toàn địa điểm.

•       Kiểm tra Khôi phục: Chúng tôi thường xuyên kiểm tra các quy trình sao lưu và khôi phục để đảm bảo chúng hoạt động chính xác.

•       Liên tục Kinh doanh: Chúng tôi duy trì các kế hoạch liên tục kinh doanh và khôi phục thảm họa để đảm bảo tính khả dụng của dịch vụ.

 

 

7. Chia sẻ và Tiết lộ Dữ liệu

Phần này mô tả khi nào và cách chúng tôi có thể chia sẻ hoặc tiết lộ thông tin được thu thập thông qua Ứng dụng.

7.1 Chia sẻ Nội bộ

Là một ứng dụng nội bộ, dữ liệu có thể được chia sẻ trong Công ty TNHH MangoAds cho các mục đích kinh doanh hợp pháp:

•       Nhân viên Được ủy quyền: Dữ liệu có thể được truy cập bởi các nhân viên có chức năng công việc yêu cầu quyền truy cập đó, chẳng hạn như quản lý chiến dịch, nhà phân tích và quản trị viên hệ thống.

•       Ban Quản lý: Báo cáo và phân tích tổng hợp có thể được chia sẻ với ban quản lý để ra quyết định kinh doanh.

•       Bộ phận CNTT: Nhân viên kỹ thuật có thể truy cập dữ liệu để bảo trì hệ thống, khắc phục sự cố và mục đích bảo mật.

•       Đội Tuân thủ: Dữ liệu có thể được truy cập cho mục đích giám sát tuân thủ và kiểm toán.

7.2 Nhà cung cấp Dịch vụ Bên thứ ba

Chúng tôi có thể chia sẻ thông tin với các nhà cung cấp dịch vụ bên thứ ba hỗ trợ vận hành Ứng dụng và cung cấp dịch vụ của chúng tôi. Các nhà cung cấp này bao gồm:

•       Nhà cung cấp Dịch vụ Lưu trữ Đám mây: Các công ty cung cấp cơ sở hạ tầng máy chủ và dịch vụ lưu trữ.

•       Dịch vụ Quản lý Cơ sở Dữ liệu: Các nhà cung cấp giải pháp lưu trữ và quản lý cơ sở dữ liệu.

•       Dịch vụ Bảo mật: Các công ty cung cấp giám sát bảo mật, phát hiện mối đe dọa và dịch vụ ứng phó sự cố.

•       Dịch vụ Phân tích: Các nhà cung cấp công cụ phân tích và trí tuệ kinh doanh.

Tất cả các nhà cung cấp dịch vụ bên thứ ba:

•       Được lựa chọn cẩn thận dựa trên thực tiễn bảo mật và danh tiếng của họ

•       Được yêu cầu ký các thỏa thuận xử lý dữ liệu bắt buộc các biện pháp bảo mật phù hợp

•       Bị cấm sử dụng dữ liệu cho mục đích riêng của họ

•       Chịu sự giám sát và đánh giá tuân thủ liên tục

7.3 Tiết lộ Pháp lý và Quy định

Chúng tôi có thể tiết lộ thông tin khi được yêu cầu hoặc cho phép bởi pháp luật:

•       Quy trình Pháp lý: Để đáp ứng các trát hầu tòa, lệnh tòa án hoặc quy trình pháp lý hợp lệ khác.

•       Yêu cầu của Chính phủ: Để đáp ứng các yêu cầu hợp pháp từ các cơ quan chính phủ.

•       Quyền Pháp lý: Để thiết lập, thực hiện hoặc bảo vệ các quyền pháp lý của chúng tôi.

•       Tình huống Khẩn cấp: Để bảo vệ an toàn của bất kỳ người nào khi chúng tôi tin rằng việc tiết lộ là cần thiết để ngăn chặn thiệt hại.

•       Tuân thủ Quy định: Để tuân thủ các luật, quy định và yêu cầu quy định áp dụng.

7.4 Những gì Chúng tôi KHÔNG Chia sẻ

Chúng tôi KHÔNG chia sẻ thông tin của bạn theo các cách sau:

•       Bán Dữ liệu: Chúng tôi KHÔNG bán, cho thuê hoặc trao đổi thông tin của bạn cho bên thứ ba để đổi lấy tiền.

•       Đối tác Tiếp thị: Chúng tôi KHÔNG chia sẻ thông tin của bạn với bên thứ ba cho mục đích tiếp thị của họ.

•       Tiết lộ Trái phép: Chúng tôi KHÔNG tiết lộ thông tin của bạn cho các bên trái phép hoặc cho các mục đích trái phép.

 

 

8. Dữ liệu Nền tảng Meta

Phần này đề cập cụ thể đến việc xử lý dữ liệu có được thông qua Marketing API của Meta và việc tuân thủ các chính sách nền tảng của Meta.

8.1 Tuân thủ Điều khoản Nền tảng Meta

Ứng dụng của chúng tôi tích hợp với Marketing API của Meta để truy xuất và hiển thị dữ liệu chiến dịch. Liên quan đến tích hợp này, chúng tôi nghiêm ngặt tuân thủ:

•       Điều khoản Nền tảng Meta (https://developers.facebook.com/terms/)

•       Chính sách Nhà phát triển Meta (https://developers.facebook.com/devpolicy/)

•       Điều khoản Dịch vụ Marketing API của Meta

•       Hạn chế Sử dụng Dữ liệu của Meta

•       Yêu cầu Chính sách Bảo mật của Meta cho các ứng dụng bên thứ ba

8.2 Các Loại Dữ liệu Meta Được Truy cập

Thông qua Marketing API, chúng tôi chỉ truy cập các loại dữ liệu sau cần thiết cho việc quản lý chiến dịch:

•       Thông tin Tài khoản Quảng cáo: ID tài khoản, tên, trạng thái và cài đặt cấu hình.

•       Dữ liệu Chiến dịch: Cấu trúc chiến dịch, mục tiêu, trạng thái và cài đặt.

•       Dữ liệu Nhóm Quảng cáo: Cấu hình nhắm mục tiêu, ngân sách, lịch trình và cài đặt tối ưu hóa.

•       Dữ liệu Nội dung Quảng cáo: Định dạng quảng cáo, văn bản, hình ảnh (chỉ tham chiếu) và cấu hình kêu gọi hành động.

•       Chỉ số Hiệu suất: Lượt hiển thị, nhấp chuột, chuyển đổi, chi phí và các chỉ số tiêu chuẩn khác.

•       Thông tin Chi tiết về Đối tượng: Thông tin nhân khẩu học đối tượng tổng hợp, không xác định cá nhân.

8.3 Hạn chế Sử dụng Dữ liệu Meta

Chúng tôi tuân thủ các hạn chế nghiêm ngặt về việc sử dụng Dữ liệu Nền tảng Meta:

•       Giới hạn Mục đích: Chúng tôi sử dụng dữ liệu Meta chỉ để cung cấp dịch vụ quản lý chiến dịch thông qua Ứng dụng.

•       Không Sử dụng Thứ cấp: Chúng tôi không sử dụng dữ liệu Meta cho bất kỳ mục đích nào khác ngoài chức năng cụ thể được người dùng yêu cầu.

•       Không Bán Dữ liệu: Chúng tôi không bán, cấp phép hoặc chuyển nhượng dữ liệu Meta cho bên thứ ba.

•       Không Sử dụng Cạnh tranh: Chúng tôi không sử dụng dữ liệu Meta để tạo các sản phẩm hoặc dịch vụ cạnh tranh.

•       Không Lập Hồ sơ: Chúng tôi không sử dụng dữ liệu Meta để tạo hồ sơ người dùng cá nhân hoặc theo dõi người dùng trên các dịch vụ.

8.4 Yêu cầu Bảo mật Dữ liệu Meta

Chúng tôi triển khai các biện pháp bảo mật cụ thể theo yêu cầu của Meta để xử lý Dữ liệu Nền tảng:

•       Mã Truy cập: Mã truy cập OAuth được lưu trữ an toàn và mã hóa. Mã được làm mới theo yêu cầu của Meta.

•       Mã hóa Dữ liệu: Tất cả Dữ liệu Nền tảng Meta được mã hóa trong quá trình truyền và khi lưu trữ.

•       Kiểm soát Truy cập: Quyền truy cập vào dữ liệu Meta bị hạn chế chỉ cho nhân sự được ủy quyền.

•       Ghi nhật ký Kiểm toán: Tất cả truy cập vào dữ liệu Meta được ghi nhật ký cho mục đích bảo mật và tuân thủ.

•       Xóa Dữ liệu: Chúng tôi tôn trọng các yêu cầu xóa dữ liệu và xóa dữ liệu Meta khi quyền truy cập bị thu hồi.

8.5 Kiểm soát Người dùng đối với Dữ liệu Meta

Người dùng duy trì kiểm soát kết nối dữ liệu Meta của họ:

•       Ủy quyền: Người dùng phải ủy quyền rõ ràng kết nối giữa tài khoản quảng cáo Meta của họ và Ứng dụng của chúng tôi.

•       Quyền: Người dùng có thể xem xét và quản lý các quyền được cấp cho Ứng dụng của chúng tôi.

•       Thu hồi: Người dùng có thể thu hồi quyền truy cập bất cứ lúc nào thông qua Cài đặt Doanh nghiệp Meta hoặc trực tiếp thông qua Ứng dụng của chúng tôi.

•       Xóa Dữ liệu: Khi thu hồi quyền truy cập, chúng tôi sẽ xóa Dữ liệu Nền tảng Meta theo yêu cầu của Meta và chính sách lưu giữ của chúng tôi.

 

 

9. Lưu giữ Dữ liệu

Phần này mô tả các thực tiễn của chúng tôi về thời gian lưu giữ các loại dữ liệu khác nhau.

9.1 Thời gian Lưu giữ

Chúng tôi lưu giữ dữ liệu trong các khoảng thời gian khác nhau tùy thuộc vào loại dữ liệu và mục đích thu thập:

Loại Dữ liệu	Thời gian Lưu giữ	Lý do
Dữ liệu Hiệu suất Chiến dịch	24 tháng	Phân tích lịch sử, báo cáo
Thông tin Tài khoản Người dùng	Thời gian làm việc + 12 tháng	Quản lý tài khoản, kiểm toán
Nhật ký Truy cập	12 tháng	Giám sát bảo mật, tuân thủ
Nhật ký Sự cố Bảo mật	36 tháng	Điều tra, yêu cầu pháp lý
Dữ liệu Sao lưu	90 ngày	Khôi phục thảm họa
Mã Truy cập API	Cho đến khi bị thu hồi hoặc hết hạn	Yêu cầu truy cập nền tảng

 

9.2 Tiêu chí Lưu giữ

Khi xác định thời gian lưu giữ phù hợp, chúng tôi xem xét:

•       Bản chất và độ nhạy cảm của dữ liệu

•       Mục đích thu thập dữ liệu

•       Các yêu cầu pháp lý và quy định

•       Yêu cầu cụ thể của nền tảng (ví dụ: chính sách lưu giữ dữ liệu của Meta)

•       Nhu cầu kinh doanh và vận hành

•       Thực tiễn tốt nhất trong ngành

9.3 Quy trình Xóa Dữ liệu

Khi dữ liệu đến cuối thời gian lưu giữ hoặc khi có yêu cầu xóa hợp lệ, chúng tôi tuân theo các quy trình sau:

•       Xác định: Dữ liệu đủ điều kiện xóa được xác định thông qua các hệ thống tự động và đánh giá thủ công.

•       Xác minh: Các yêu cầu xóa được xác minh để đảm bảo chúng hợp lệ và được ủy quyền.

•       Xóa: Dữ liệu được xóa an toàn bằng các phương pháp thích hợp (ví dụ: xóa mật mã, ghi đè).

•       Xóa Sao lưu: Dữ liệu cũng được xóa khỏi các hệ thống sao lưu theo lịch trình lưu giữ sao lưu.

•       Xác nhận: Việc xóa được ghi nhật ký và xác nhận.

 

 

10. Quyền của Bạn

Phần này mô tả các quyền bạn có đối với dữ liệu cá nhân của mình và cách thực hiện chúng.

10.1 Quyền theo Pháp luật Việt Nam

Theo luật bảo vệ dữ liệu Việt Nam, bao gồm Nghị định số 13/2023/NĐ-CP, bạn có các quyền sau:

10.1.1 Quyền Được Biết

Bạn có quyền được thông báo về việc thu thập và xử lý dữ liệu cá nhân của mình, bao gồm những dữ liệu nào được thu thập, mục đích xử lý và với ai dữ liệu được chia sẻ.

10.1.2 Quyền Đồng ý

Bạn có quyền đưa ra, từ chối hoặc rút lại sự đồng ý cho việc xử lý dữ liệu cá nhân của mình. Khi sự đồng ý là cơ sở pháp lý cho việc xử lý, bạn có thể rút lại sự đồng ý bất cứ lúc nào.

10.1.3 Quyền Truy cập

Bạn có quyền yêu cầu truy cập vào dữ liệu cá nhân của mình mà chúng tôi nắm giữ. Theo yêu cầu, chúng tôi sẽ cung cấp cho bạn một bản sao dữ liệu cá nhân của bạn ở định dạng điện tử thường dùng.

10.1.4 Quyền Chỉnh sửa

Bạn có quyền yêu cầu chỉnh sửa dữ liệu cá nhân không chính xác hoặc không đầy đủ. Chúng tôi sẽ nỗ lực hợp lý để chỉnh sửa dữ liệu khi nhận được yêu cầu hợp lệ.

10.1.5 Quyền Xóa

Bạn có quyền yêu cầu xóa dữ liệu cá nhân của mình trong một số trường hợp nhất định, chẳng hạn như khi dữ liệu không còn cần thiết cho các mục đích mà nó được thu thập.

10.1.6 Quyền Hạn chế Xử lý

Bạn có quyền yêu cầu hạn chế xử lý dữ liệu cá nhân của mình trong một số trường hợp nhất định, chẳng hạn như khi bạn phản đối tính chính xác của dữ liệu.

10.1.7 Quyền Di chuyển Dữ liệu

Bạn có quyền nhận dữ liệu cá nhân của mình ở định dạng có cấu trúc, thường dùng và có thể đọc được bằng máy, và chuyển dữ liệu đó cho một bên kiểm soát khác.

10.1.8 Quyền Phản đối

Bạn có quyền phản đối việc xử lý dữ liệu cá nhân của mình trong một số trường hợp nhất định, bao gồm xử lý dựa trên lợi ích hợp pháp.

10.1.9 Quyền Khiếu nại

Bạn có quyền nộp khiếu nại với cơ quan bảo vệ dữ liệu liên quan nếu bạn tin rằng quyền của mình đã bị vi phạm.

10.2 Thực hiện Quyền của Bạn

Để thực hiện bất kỳ quyền nào của bạn, vui lòng liên hệ với chúng tôi bằng thông tin được cung cấp trong Phần 15 của Chính sách Bảo mật này. Khi gửi yêu cầu, vui lòng:

•       Xác định rõ ràng bạn là ai và quyền bạn muốn thực hiện

•       Cung cấp đủ thông tin để cho phép chúng tôi xác định vị trí dữ liệu của bạn

•       Chỉ rõ hành động bạn muốn chúng tôi thực hiện

•       Cung cấp thông tin liên hệ để chúng tôi phản hồi

10.3 Xử lý Yêu cầu

Khi nhận được yêu cầu của bạn, chúng tôi sẽ:

•       Xác nhận việc nhận yêu cầu của bạn trong vòng 3 ngày làm việc

•       Xác minh danh tính của bạn để đảm bảo bảo mật dữ liệu của bạn

•       Xử lý yêu cầu của bạn trong vòng 30 ngày kể từ khi xác minh

•       Thông báo cho bạn nếu chúng tôi cần thêm thời gian (tối đa 60 ngày cho các yêu cầu phức tạp)

•       Cung cấp phản hồi giải thích hành động đã thực hiện hoặc lý do từ chối

 

 

11. Quy trình Ứng phó Vi phạm Dữ liệu

Chúng tôi đã thiết lập các quy trình toàn diện để phát hiện, ứng phó và báo cáo vi phạm dữ liệu. Phần này mô tả khung ứng phó vi phạm dữ liệu của chúng tôi.

11.1 Định nghĩa Vi phạm Dữ liệu

Vi phạm dữ liệu được định nghĩa là một sự cố bảo mật dẫn đến việc hủy, mất, thay đổi, tiết lộ trái phép hoặc truy cập trái phép vào dữ liệu cá nhân được truyền, lưu trữ hoặc xử lý bởi Ứng dụng của chúng tôi một cách vô tình hoặc bất hợp pháp.

11.2 Phát hiện Vi phạm

Chúng tôi sử dụng nhiều cơ chế để phát hiện các vi phạm dữ liệu tiềm ẩn:

•       Giám sát Bảo mật: Giám sát liên tục các hệ thống để phát hiện hoạt động hoặc mô hình truy cập bất thường.

•       Hệ thống Phát hiện Xâm nhập: Các hệ thống tự động phát hiện các xâm nhập bảo mật tiềm ẩn.

•       Phân tích Nhật ký: Phân tích thường xuyên các nhật ký hệ thống và truy cập để phát hiện bất thường.

•       Báo cáo Người dùng: Các cơ chế để người dùng báo cáo các sự cố bảo mật nghi ngờ.

•       Thông báo Nhà cung cấp: Giám sát các thông báo bảo mật từ các nhà cung cấp bên thứ ba.

11.3 Quy trình Ứng phó Vi phạm

Khi phát hiện vi phạm dữ liệu tiềm ẩn, chúng tôi tuân theo quy trình ứng phó có cấu trúc:

11.3.1 Giai đoạn 1: Ngăn chặn (0-24 giờ)

•       Ngăn chặn ngay lập tức vi phạm để ngăn chặn mất mát dữ liệu thêm

•       Bảo tồn bằng chứng để điều tra

•       Kích hoạt đội ứng phó sự cố

•       Đánh giá phạm vi và mức độ nghiêm trọng của vi phạm

•       Ghi lại tất cả các hành động đã thực hiện

11.3.2 Giai đoạn 2: Điều tra (24-72 giờ)

•       Tiến hành điều tra kỹ lưỡng để xác định nguyên nhân

•       Xác định dữ liệu và cá nhân bị ảnh hưởng

•       Đánh giá rủi ro gây hại cho các cá nhân bị ảnh hưởng

•       Xác định xem có cần thông báo hay không

•       Chuẩn bị tài liệu sự cố chi tiết

11.3.3 Giai đoạn 3: Thông báo (Trong vòng 72 giờ)

•       Thông báo cho các cơ quan giám sát liên quan theo yêu cầu của pháp luật

•       Thông báo cho các cá nhân bị ảnh hưởng nếu vi phạm gây rủi ro cao

•       Thông báo cho các nền tảng quảng cáo nếu dữ liệu của họ bị ảnh hưởng

•       Chuẩn bị và đưa ra các tuyên bố công khai nếu phù hợp

11.3.4 Giai đoạn 4: Khắc phục (Liên tục)

•       Triển khai các biện pháp để ngăn chặn vi phạm tương tự

•       Khôi phục các hệ thống và dữ liệu bị ảnh hưởng

•       Cung cấp hỗ trợ cho các cá nhân bị ảnh hưởng

•       Cập nhật các biện pháp bảo mật khi cần thiết

11.3.5 Giai đoạn 5: Đánh giá (Sau sự cố)

•       Tiến hành đánh giá sau sự cố

•       Ghi lại các bài học kinh nghiệm

•       Cập nhật các chính sách và quy trình khi cần thiết

•       Cung cấp đào tạo bổ sung nếu cần

 

 

12. Tuân thủ Pháp lý và Quy định

Phần này mô tả việc tuân thủ của chúng tôi với các luật và quy định bảo vệ dữ liệu áp dụng.

12.1 Luật Bảo vệ Dữ liệu Việt Nam

Chúng tôi tuân thủ luật bảo vệ dữ liệu Việt Nam, bao gồm:

12.1.1 Nghị định số 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân

Nghị định này thiết lập các yêu cầu toàn diện về bảo vệ dữ liệu cá nhân tại Việt Nam. Các biện pháp tuân thủ của chúng tôi bao gồm:

•       Có được sự đồng ý phù hợp cho việc xử lý dữ liệu

•       Triển khai các biện pháp bảo mật theo yêu cầu

•       Tôn trọng quyền của chủ thể dữ liệu

•       Tiến hành đánh giá tác động bảo vệ dữ liệu khi cần thiết

•       Duy trì tài liệu phù hợp

12.1.2 Luật An ninh mạng 2018

Luật An ninh mạng thiết lập các yêu cầu về lưu trữ dữ liệu và an ninh mạng. Các biện pháp tuân thủ của chúng tôi bao gồm:

•       Lưu trữ dữ liệu trên các máy chủ đặt tại Việt Nam

•       Triển khai các biện pháp an ninh mạng

•       Hợp tác với các cơ quan chức năng theo yêu cầu của pháp luật

12.1.3 Luật Công nghệ Thông tin 2006

Luật này thiết lập các yêu cầu cho các hoạt động công nghệ thông tin. Chúng tôi tuân thủ các quy định liên quan về bảo vệ và bảo mật dữ liệu.

12.2 Tuân thủ GDPR

Mặc dù Ứng dụng của chúng tôi chủ yếu được sử dụng tại Việt Nam, chúng tôi đã triển khai các thực tiễn phù hợp với GDPR như một vấn đề thực tiễn tốt nhất:

•       Bảo mật theo Thiết kế: Chúng tôi tích hợp bảo vệ dữ liệu vào thiết kế hệ thống và quy trình của mình.

•       Tối thiểu hóa Dữ liệu: Chúng tôi chỉ thu thập dữ liệu cần thiết cho các mục đích đã xác định.

•       Giới hạn Mục đích: Chúng tôi chỉ sử dụng dữ liệu cho các mục đích mà nó được thu thập.

•       Giới hạn Lưu trữ: Chúng tôi chỉ lưu giữ dữ liệu trong thời gian cần thiết.

•       Độ chính xác: Chúng tôi thực hiện các bước để đảm bảo độ chính xác của dữ liệu.

•       Bảo mật: Chúng tôi triển khai các biện pháp bảo mật kỹ thuật và tổ chức phù hợp.

•       Trách nhiệm Giải trình: Chúng tôi duy trì tài liệu chứng minh nỗ lực tuân thủ của mình.

 

 

13. Quyền riêng tư Trẻ em

Chúng tôi cam kết bảo vệ quyền riêng tư của trẻ em.

13.1 Hạn chế Độ tuổi

Ứng dụng của chúng tôi được thiết kế để sử dụng bởi các chuyên gia kinh doanh và không dành cho các cá nhân dưới 18 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân từ trẻ em dưới 18 tuổi.

13.2 Phát hiện Dữ liệu Trẻ em

Nếu chúng tôi nhận thấy rằng chúng tôi đã vô tình thu thập dữ liệu cá nhân từ trẻ em dưới 18 tuổi, chúng tôi sẽ:

•       Thực hiện ngay các bước để xóa dữ liệu đó khỏi hệ thống của chúng tôi

•       Thông báo cho cha mẹ hoặc người giám hộ của trẻ nếu phù hợp

•       Điều tra cách việc thu thập xảy ra và thực hiện các bước để ngăn chặn tái diễn

13.3 Báo cáo

Nếu bạn tin rằng chúng tôi có thể đã thu thập thông tin từ trẻ em dưới 18 tuổi, vui lòng liên hệ ngay với chúng tôi bằng thông tin liên hệ được cung cấp trong Phần 15.

 

 

14. Thay đổi Chính sách Bảo mật này

14.1 Quyền Cập nhật

Chúng tôi bảo lưu quyền cập nhật hoặc sửa đổi Chính sách Bảo mật này bất cứ lúc nào. Những thay đổi có thể cần thiết để phản ánh những thay đổi trong thực tiễn của chúng tôi, yêu cầu pháp lý hoặc các yếu tố khác.

14.2 Thông báo Thay đổi

Khi chúng tôi thực hiện các thay đổi đối với Chính sách Bảo mật này, chúng tôi sẽ:

•       Cập nhật ngày "Cập nhật lần cuối" ở đầu tài liệu này

•       Thông báo cho người dùng về các thay đổi quan trọng thông qua Ứng dụng hoặc qua email

•       Cung cấp tóm tắt các thay đổi quan trọng

•       Duy trì lưu trữ các phiên bản trước đây của Chính sách Bảo mật

14.3 Chấp nhận Thay đổi

Việc bạn tiếp tục sử dụng Ứng dụng sau ngày có hiệu lực của bất kỳ thay đổi nào đối với Chính sách Bảo mật này cấu thành sự chấp nhận của bạn đối với những thay đổi đó. Nếu bạn không đồng ý với các thay đổi, bạn nên ngừng sử dụng Ứng dụng.

14.4 Khuyến nghị Xem xét

Chúng tôi khuyến khích bạn xem xét Chính sách Bảo mật này định kỳ để cập nhật về các thực tiễn dữ liệu của chúng tôi. Phiên bản hiện tại của Chính sách Bảo mật này luôn có sẵn thông qua Ứng dụng.

 

 

15. Thông tin Liên hệ

Nếu bạn có bất kỳ câu hỏi, lo ngại hoặc yêu cầu nào liên quan đến Chính sách Bảo mật này hoặc các thực tiễn dữ liệu của chúng tôi, vui lòng liên hệ với chúng tôi bằng thông tin dưới đây.

15.1 Thông tin Công ty

Công ty TNHH MangoAds

L17-11, Tầng 17, Tòa nhà Vincom Center

72 Lê Thánh Tôn, Phường Bến Nghé

Quận 1, Thành phố Hồ Chí Minh, Việt Nam

Số đăng ký kinh doanh: [Sẽ được bổ sung]

15.2 Chi tiết Liên hệ

Điện thoại: 028 66805450

Email: info@mangoads.vn

Website: https://mangoads.vn

Thắc mắc về quyền riêng tư: privacy@mangoads.vn

15.3 Cán bộ Bảo vệ Dữ liệu

Đối với các vấn đề liên quan đến bảo vệ dữ liệu và quyền riêng tư, bạn có thể liên hệ với Cán bộ Bảo vệ Dữ liệu được chỉ định của chúng tôi:

Email: dpo@mangoads.vn

Tiêu đề: "Yêu cầu Bảo vệ Dữ liệu"

15.4 Thời gian Phản hồi

Chúng tôi đặt mục tiêu phản hồi tất cả các yêu cầu liên quan đến quyền riêng tư trong vòng 5 ngày làm việc. Các yêu cầu phức tạp có thể cần thêm thời gian, và chúng tôi sẽ thông báo cho bạn về tiến độ của chúng tôi.

 

 

16. Xác nhận

BẰNG VIỆC SỬ DỤNG ỨNG DỤNG CỦA CHÚNG TÔI, BẠN XÁC NHẬN RẰNG BẠN ĐÃ ĐỌC CHÍNH SÁCH BẢO MẬT NÀY, HIỂU NÓ VÀ ĐỒNG Ý BỊ RÀNG BUỘC BỞI CÁC ĐIỀU KHOẢN VÀ ĐIỀU KIỆN CỦA NÓ.

Bạn tiếp tục xác nhận rằng:

•       Bạn đã có cơ hội xem xét Chính sách Bảo mật này trước khi sử dụng Ứng dụng

•       Bạn hiểu cách chúng tôi thu thập, sử dụng, lưu trữ và chia sẻ thông tin của bạn

•       Bạn hiểu các quyền của mình liên quan đến dữ liệu cá nhân

•       Bạn đồng ý với việc xử lý dữ liệu của bạn như được mô tả trong Chính sách Bảo mật này

•       Bạn sẽ xem xét Chính sách Bảo mật này định kỳ để cập nhật hoặc thay đổi

 

 

Phụ lục A: Lịch sử Phiên bản Tài liệu

Phiên bản	Ngày	Tác giả	Thay đổi
1.0	20/01/2025	Bộ phận Pháp lý	Phát hành ban đầu

 

--- KẾT THÚC CHÍNH SÁCH BẢO MẬT ---