Privacy Policy
CHÍNH SÁCH BẢO MẬT
DALAT HUB
Ngày có hiệu lực: 01/03/2026 — Cập nhật lần cuối: 03/03/2026
1 Giới thiệu
Chào mừng bạn đến với DALAT HUB – ứng dụng du lịch và dịch vụ tại Đà Lạt ("Ứng dụng"). DALAT HUB ("chúng tôi", "của chúng tôi") cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của bạn theo:
- Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân của Việt Nam
- Luật An ninh mạng 2018 (Luật số 24/2018/QH14)
- Quy định Bảo vệ Dữ liệu Chung (GDPR – EU 2016/679)
- Các quy định pháp luật hiện hành khác
Chính sách Bảo mật này mô tả cách chúng tôi thu thập, sử dụng, lưu trữ, bảo vệ và chia sẻ thông tin cá nhân của bạn khi sử dụng Ứng dụng DALAT HUB trên nền tảng iOS, Android và Web.
Bằng việc tải xuống, cài đặt hoặc sử dụng Ứng dụng, bạn xác nhận rằng bạn đã đọc, hiểu và đồng ý với Chính sách Bảo mật này. Nếu bạn không đồng ý, vui lòng ngừng sử dụng Ứng dụng.
2 Thông tin chúng tôi thu thập
2.1. Thông tin bạn cung cấp trực tiếp
Khi đăng ký tài khoản và sử dụng dịch vụ, chúng tôi có thể thu thập:
- Họ và tên đầy đủ
- Địa chỉ email (dùng để đăng nhập và liên lạc)
- Số điện thoại (tùy chọn, để hỗ trợ giao hàng và liên lạc)
- Mật khẩu đăng nhập (được mã hóa một chiều SHA-256, không bao giờ lưu dạng thuần text)
- Địa chỉ giao hàng (tên người nhận, số điện thoại, địa chỉ chi tiết)
- Ảnh đại diện hồ sơ (nếu bạn chọn tải lên từ thư viện ảnh)
- Mã giới thiệu (nếu bạn được người khác giới thiệu)
2.2. Thông tin giao dịch
Khi bạn sử dụng dịch vụ đặt phòng, thuê xe, hoặc mua sắm:
- Lịch sử đơn hàng và chi tiết đặt phòng/thuê dịch vụ
- Phương thức thanh toán đã chọn (chuyển khoản ngân hàng, thanh toán khi nhận hàng)
- Mã giao dịch và trạng thái thanh toán
- Thông tin hóa đơn điện tử: tên công ty, mã số thuế, địa chỉ công ty (chỉ khi bạn yêu cầu xuất hóa đơn VAT)
- Nội dung yêu cầu hợp tác kinh doanh (nếu bạn gửi đơn đăng ký đối tác)
2.3. Thông tin thu thập tự động
- Loại thiết bị và hệ điều hành (iOS / Android)
- Phiên bản ứng dụng đang sử dụng
- Nhật ký lỗi hệ thống (chỉ phục vụ cải thiện ứng dụng)
2.4. Dữ liệu vị trí
- Chỉ sử dụng quyền truy cập vị trí ở chế độ nền trước (foreground) khi bạn cho phép
- Mục đích: Tự động điền địa chỉ giao hàng hiện tại
- Dữ liệu vị trí lưu trữ cục bộ trên thiết bị, không gửi về máy chủ trừ khi bạn chủ động lưu địa chỉ giao hàng
- Không theo dõi vị trí ở chế độ nền (background tracking)
2.5. Dữ liệu sinh trắc học
- Dữ liệu sinh trắc học (vân tay, Face ID) được xử lý hoàn toàn trên thiết bị qua hệ thống bảo mật gốc iOS/Android
- Chúng tôi không thu thập, không lưu trữ, không truyền bất kỳ dữ liệu sinh trắc học nào lên máy chủ
- Chỉ một token xác thực được lưu cục bộ an toàn trên thiết bị
2.6. Nội dung do người dùng tạo
- Tin nhắn hỗ trợ khách hàng (trò chuyện trực tiếp với admin)
- Phiếu hỗ trợ (tiêu đề và nội dung mô tả vấn đề)
- Đánh giá ứng dụng (điểm, nhận xét, phiên bản app, nền tảng)
2.7. Thông tin chúng tôi KHÔNG thu thập
- ❌ Danh bạ điện thoại, tin nhắn SMS, lịch sử cuộc gọi
- ❌ Thông tin thẻ tín dụng/ghi nợ
- ❌ Dữ liệu từ các ứng dụng khác trên thiết bị
- ❌ Dữ liệu quảng cáo hoặc theo dõi hành vi (không Firebase Analytics, không Google Analytics, không Sentry, không SDK theo dõi)
- ❌ Không hiển thị quảng cáo và không chia sẻ dữ liệu với bất kỳ mạng quảng cáo nào
3 Mục đích sử dụng dữ liệu
| Mục đích | Dữ liệu liên quan |
|---|---|
| Tạo, xác thực và quản lý tài khoản | Tên, email, mật khẩu (đã mã hóa) |
| Xử lý đơn hàng, đặt phòng, thuê xe | Tên, SĐT, địa chỉ, chi tiết đơn hàng |
| Thanh toán và xác minh giao dịch | Mã giao dịch, số tiền, phương thức thanh toán |
| Giao hàng và liên lạc đơn hàng | Tên, SĐT, địa chỉ giao hàng |
| Hỗ trợ khách hàng | Nội dung trò chuyện, phiếu hỗ trợ |
| Chương trình tích điểm & giới thiệu | Điểm tích lũy, mã giới thiệu |
| Xuất hóa đơn điện tử | Tên công ty, MST, địa chỉ (theo yêu cầu) |
| Cải thiện ứng dụng | Nhật ký lỗi, thiết bị, phiên bản app |
| Bảo mật hệ thống | Token xác thực, hoạt động đăng nhập |
| Tuân thủ pháp luật | Dữ liệu giao dịch (theo quy định thuế/kế toán) |
4 Cơ sở pháp lý xử lý dữ liệu
- Sự đồng ý của bạn (Điều 6(1)(a) GDPR): Khi đăng ký tài khoản, bật sinh trắc học, tải ảnh đại diện
- Thực hiện hợp đồng (Điều 6(1)(b) GDPR): Cần thiết để xử lý đơn hàng, đặt phòng, thanh toán, giao hàng
- Nghĩa vụ pháp lý (Điều 6(1)(c) GDPR): Lưu trữ hóa đơn, giao dịch theo quy định thuế và kế toán Việt Nam
- Lợi ích hợp pháp (Điều 6(1)(f) GDPR): Bảo vệ hệ thống, phòng chống gian lận, cải thiện dịch vụ
5 Lưu trữ và bảo mật dữ liệu
5.1. Biện pháp bảo mật kỹ thuật
- Mã hóa mật khẩu SHA-256 với salt — không bao giờ lưu hoặc xem được mật khẩu gốc
- Token xác thực bảo mật (JWT) với thời hạn 7 ngày, tự động hết hạn
- Xác thực hai yếu tố (2FA) qua Google Authenticator (TOTP)
- Mã PIN nhanh (4-6 số) và mật khẩu cấp 2 cho bảo mật bổ sung
- Truyền tải mã hóa: Toàn bộ dữ liệu qua giao thức HTTPS (SSL/TLS)
- Phân quyền truy cập nghiêm ngặt (khách hàng / quản trị viên / quản trị viên cấp cao)
- API Key Authentication cho mọi yêu cầu API
- Cơ sở dữ liệu MySQL với kiểm soát truy cập nhiều lớp
5.2. Biện pháp bảo mật tổ chức
- Chỉ nhân viên được ủy quyền mới có quyền truy cập hệ thống quản trị
- Đào tạo nhân viên về bảo mật dữ liệu và quyền riêng tư
- Kiểm tra bảo mật định kỳ
5.3. Cam kết
- ✅ KHÔNG BAO GIỜ bán, cho thuê hoặc trao đổi dữ liệu cá nhân cho bên thứ ba vì mục đích thương mại
- ✅ KHÔNG sử dụng dữ liệu cho mục đích quảng cáo hoặc marketing từ bên thứ ba
⚠️ Lưu ý: Không có hệ thống truyền tải dữ liệu nào đảm bảo an toàn tuyệt đối 100%. Chúng tôi áp dụng các biện pháp bảo mật hợp lý nhất theo tiêu chuẩn ngành và liên tục cải thiện.
6 Thời gian lưu trữ dữ liệu
| Loại dữ liệu | Thời gian lưu trữ |
|---|---|
| Dữ liệu tài khoản (tên, email, SĐT) | Suốt thời gian tài khoản hoạt động |
| Dữ liệu giao dịch, đơn hàng, hóa đơn | Tối thiểu 5 năm (Luật Kế toán 2015) |
| Tin nhắn & phiếu hỗ trợ | 2 năm kể từ khi phiếu được đóng |
| Dữ liệu cục bộ (giỏ hàng, địa chỉ, token) | Cho đến khi đăng xuất hoặc gỡ cài đặt |
| Nhật ký lỗi hệ thống | 90 ngày |
| Sau khi xóa tài khoản | Xóa trong vòng 30 ngày (trừ dữ liệu pháp luật yêu cầu) |
7 Chia sẻ dữ liệu với bên thứ ba
7.1. Đối tác cung cấp dịch vụ
- Khách sạn, villa, đơn vị cho thuê xe — chỉ thông tin cần thiết (tên, SĐT, ngày đặt, số lượng khách)
- Đối tác giao hàng — tên, số điện thoại, địa chỉ giao hàng
7.2. Nhà cung cấp dịch vụ kỹ thuật
- MB Bank (qua VietQR): Chỉ mã giao dịch và số tiền — không chia sẻ thông tin cá nhân
- Open-Meteo: Dịch vụ thời tiết — chỉ gửi tọa độ cố định Đà Lạt, không gửi dữ liệu cá nhân
7.3. Trường hợp pháp lý
- Theo yêu cầu hợp lệ từ cơ quan pháp luật có thẩm quyền của Việt Nam
- Để bảo vệ quyền lợi, tài sản hoặc an toàn của DALAT HUB, người dùng hoặc công chúng
- Trong trường hợp sáp nhập, mua lại hoặc chuyển nhượng (bạn sẽ được thông báo trước)
7.4. Chúng tôi KHÔNG chia sẻ dữ liệu với
- ❌ Mạng quảng cáo hoặc nền tảng marketing
- ❌ Nhà môi giới dữ liệu (data brokers)
- ❌ Bất kỳ bên thứ ba nào cho mục đích thương mại không liên quan đến dịch vụ
8 Quyền của người dùng
Theo Nghị định 13/2023/NĐ-CP và GDPR, bạn có các quyền sau:
| Quyền | Mô tả | Cách thực hiện |
|---|---|---|
| Truy cập | Xem thông tin cá nhân chúng tôi lưu trữ | Mục "Hồ sơ" trong Ứng dụng |
| Chỉnh sửa | Cập nhật họ tên, SĐT, địa chỉ, ảnh đại diện | Hồ sơ → Chỉnh sửa |
| Xóa | Xóa tài khoản và toàn bộ dữ liệu cá nhân | Cài đặt bảo mật → Xóa tài khoản |
| Hạn chế xử lý | Yêu cầu giới hạn việc sử dụng dữ liệu | Liên hệ email |
| Phản đối | Phản đối việc xử lý dữ liệu | Liên hệ email |
| Di chuyển dữ liệu | Xuất dữ liệu cá nhân ở định dạng phổ biến | Liên hệ email |
| Rút lại đồng ý | Thu hồi sự đồng ý bất kỳ lúc nào | Email hoặc xóa tài khoản |
📧 Để thực hiện các quyền trên, vui lòng liên hệ: info@dalathub.vn
Chúng tôi sẽ phản hồi trong vòng 30 ngày làm việc kể từ khi nhận được yêu cầu hợp lệ.
Chúng tôi sẽ phản hồi trong vòng 30 ngày làm việc kể từ khi nhận được yêu cầu hợp lệ.
9 Quyền truy cập thiết bị
Tất cả đều là tùy chọn — bạn có thể từ chối và ứng dụng vẫn hoạt động bình thường (trừ tính năng liên quan):
| Quyền | Mục đích | Bắt buộc? |
|---|---|---|
| Thư viện ảnh | Chọn ảnh đại diện hồ sơ | Không |
| Vị trí (nền trước) | Tự động điền địa chỉ giao hàng | Không |
| Sinh trắc học | Đăng nhập nhanh bằng vân tay / Face ID | Không |
| Clipboard | Sao chép mã giới thiệu, mã đơn hàng | Không |
| Trình duyệt web | Mở liên kết bên ngoài | Không |
| Rung (Haptic) | Phản hồi rung nhẹ khi thao tác | Không |
Bạn có thể thu hồi bất kỳ quyền nào trong phần Cài đặt của thiết bị (iOS: Cài đặt → DALAT HUB; Android: Cài đặt → Ứng dụng → DALAT HUB → Quyền).
10 Cookie và lưu trữ cục bộ
DALAT HUB là ứng dụng di động native — chúng tôi không sử dụng cookie trình duyệt.
Chúng tôi sử dụng bộ nhớ cục bộ thiết bị (AsyncStorage) để lưu trữ:
| Dữ liệu | Mục đích | Khi nào bị xóa |
|---|---|---|
| Token đăng nhập | Duy trì phiên đăng nhập | Hết hạn sau 7 ngày hoặc đăng xuất |
| Bộ nhớ đệm giỏ hàng | Giữ giỏ hàng khi tắt ứng dụng | Đăng xuất hoặc gỡ ứng dụng |
| Địa chỉ giao hàng | Tra cứu nhanh khi đặt hàng | Đăng xuất hoặc gỡ ứng dụng |
| Token sinh trắc học | Đăng nhập vân tay / Face ID | Tắt tính năng hoặc gỡ ứng dụng |
| Hồ sơ người dùng (cache) | Hiển thị nhanh thông tin | Đăng xuất |
Tất cả dữ liệu cục bộ sẽ bị xóa hoàn toàn khi bạn gỡ cài đặt Ứng dụng.
11 Bảo vệ dữ liệu trẻ em
- Ứng dụng DALAT HUB không dành cho người dưới 13 tuổi
- Chúng tôi không cố ý thu thập dữ liệu cá nhân từ trẻ em dưới 13 tuổi
- Nếu bạn là phụ huynh/người giám hộ và phát hiện con em đã cung cấp thông tin, vui lòng liên hệ info@dalathub.vn để xóa dữ liệu trong vòng 48 giờ
- Nếu chúng tôi phát hiện đã thu thập dữ liệu từ trẻ em dưới 13 tuổi, chúng tôi sẽ chủ động xóa ngay lập tức
12 Chuyển dữ liệu quốc tế
- Máy chủ DALAT HUB được đặt tại Việt Nam
- Nếu bạn truy cập từ ngoài Việt Nam, dữ liệu sẽ được chuyển đến và xử lý tại Việt Nam
- Chúng tôi đảm bảo áp dụng các biện pháp bảo vệ theo tiêu chuẩn GDPR:
- Mã hóa truyền tải (HTTPS/TLS)
- Kiểm soát truy cập nghiêm ngặt
- Giám sát bảo mật liên tục
13 Vi phạm dữ liệu
Trong trường hợp xảy ra sự cố vi phạm dữ liệu:
- Thông báo cho cơ quan có thẩm quyền trong vòng 72 giờ theo quy định GDPR
- Nếu sự cố có nguy cơ ảnh hưởng cao, chúng tôi sẽ thông báo trực tiếp qua email đã đăng ký
- Chúng tôi sẽ cung cấp:
- Mô tả bản chất sự cố
- Loại dữ liệu bị ảnh hưởng
- Biện pháp khắc phục đã và sẽ thực hiện
- Hướng dẫn bảo vệ bạn
14 Thay đổi Chính sách Bảo mật
- Chúng tôi có quyền cập nhật Chính sách khi cần thiết để phản ánh thay đổi trong dịch vụ hoặc quy định pháp luật
- Mọi thay đổi quan trọng sẽ được thông báo qua Ứng dụng hoặc email ít nhất 7 ngày trước khi có hiệu lực
- Phiên bản mới nhất luôn được công bố trong Ứng dụng (Hồ sơ → Chính sách bảo mật) và trên website
- Tiếp tục sử dụng Ứng dụng sau khi cập nhật đồng nghĩa với việc bạn chấp nhận các thay đổi
15 Liên hệ
Nếu bạn có bất kỳ câu hỏi, yêu cầu hoặc khiếu nại nào liên quan đến Chính sách Bảo mật, vui lòng liên hệ:
location_on
Địa chỉ
06 Mạc Đĩnh Chi, Phường Xuân Hương - Đà Lạt, Tỉnh Lâm Đồng
mail
Email
info@dalathub.vn
language
Website
schedule
Phản hồi
Trong vòng 30 ngày làm việc
Chính sách này có hiệu lực kể từ ngày 01/03/2026.
Cập nhật lần cuối: 03/03/2026.