RestAIAI PLATFORM
Quay lại trang chủ

Chính sách bảo mật

Cập nhật lần cuối: 4/7/2025 | Phiên bản 2.1

Cam kết: RestAI tuân thủ nghiêm ngặt các quy định về bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP và các tiêu chuẩn quốc tế ISO 27001, SOC 2 Type II.

Mục lục

1. Thông tin chúng tôi thu thập2. Cách thức thu thập thông tin3. Mục đích sử dụng thông tin4. Bảo mật và lưu trữ dữ liệu5. Chia sẻ thông tin với bên thứ ba6. Quyền của khách hàng7. Bảo mật theo từng module8. Tuân thủ pháp lý

1. Thông tin chúng tôi thu thập

1.1. Thông tin cá nhân cơ bản

  • Thông tin định danh: Họ tên, email, số điện thoại, chức vụ, tên công ty
  • Thông tin đăng nhập: Username, mật khẩu đã mã hóa, token xác thực
  • Thông tin liên hệ: Địa chỉ công ty, website, mã số thuế doanh nghiệp
  • Thông tin thanh toán: Thông tin hóa đơn, phương thức thanh toán (không lưu trữ thông tin thẻ tín dụng)

1.2. Dữ liệu sử dụng dịch vụ

AI Tasks Assistant

  • Nội dung hội thoại với AI
  • Lịch sử tạo và quản lý task
  • Tài liệu được tải lên để xử lý
  • Thời gian và tần suất sử dụng

CRM Module

  • Thông tin khách hàng và liên hệ
  • Lịch sử tương tác và giao dịch
  • Dữ liệu bán hàng và marketing
  • Báo cáo và phân tích hiệu suất

Analytics & Recommendations

  • Dữ liệu hành vi người dùng
  • Metrics và KPIs doanh nghiệp
  • Mô hình dự đoán và phân tích
  • Lịch sử các khuyến nghị đã tạo

RAG AI + Web Search

  • Tài liệu và knowledge base
  • Truy vấn tìm kiếm và kết quả
  • Vector embeddings của dữ liệu
  • Metadata và tags tài liệu

1.3. Thông tin kỹ thuật

  • Thông tin thiết bị: Địa chỉ IP, User Agent, loại trình duyệt, hệ điều hành
  • Dữ liệu phiên làm việc: Session ID, thời gian đăng nhập/đăng xuất, hoạt động trong phiên
  • Logs hệ thống: Lỗi, cảnh báo bảo mật, thời gian phản hồi API
  • Cookies và tracking: Preferences, analytics data, performance metrics

2. Cách thức thu thập thông tin

2.1. Thu thập trực tiếp

  • Thông qua form đăng ký tài khoản và profile doanh nghiệp
  • Khi khách hàng tải lên tài liệu, tạo task, hoặc nhập dữ liệu vào CRM
  • Thông qua tương tác với AI Assistant và các module khác
  • Khi khách hàng liên hệ hỗ trợ qua email, chat, hoặc hotline

2.2. Thu thập tự động

  • Thông qua cookies, web beacons, và các công nghệ tracking tương tự
  • Logs tự động từ server và ứng dụng khi khách hàng sử dụng dịch vụ
  • Dữ liệu analytics từ Google Analytics, Hotjar, và các công cụ phân tích khác
  • API calls và integration data từ các hệ thống bên thứ ba

2.3. Thu thập từ bên thứ ba

  • Thông tin công khai từ website và social media của doanh nghiệp
  • Dữ liệu từ các đối tác kinh doanh (với sự đồng ý)
  • Thông tin từ các nguồn dữ liệu công khai và hợp pháp

3. Mục đích sử dụng thông tin

3.1. Cung cấp dịch vụ

  • Xử lý và phản hồi các yêu cầu AI
  • Quản lý tài khoản và phân quyền
  • Lưu trữ và đồng bộ dữ liệu
  • Cung cấp analytics và insights
  • Tích hợp với hệ thống khách hàng

3.2. Cải thiện dịch vụ

  • Phân tích usage patterns và user behavior
  • Tối ưu hóa hiệu suất AI models
  • Phát triển tính năng mới
  • A/B testing và product optimization
  • Bug fixing và performance tuning

3.3. Hỗ trợ khách hàng

  • Giải đáp thắc mắc và hỗ trợ kỹ thuật
  • Onboarding và training người dùng
  • Troubleshooting và problem resolution
  • Cung cấp documentation và guides
  • Proactive monitoring và alerts

3.4. Tuân thủ pháp lý

  • Audit trails và compliance reporting
  • Fraud detection và prevention
  • Backup và disaster recovery
  • Legal discovery và litigation support
  • Regulatory compliance monitoring

4. Bảo mật và lưu trữ dữ liệu

4.1. Biện pháp bảo mật kỹ thuật

🔒 Mã hóa end-to-end: Tất cả dữ liệu được mã hóa AES-256 khi lưu trữ và TLS 1.3 khi truyền tải

Infrastructure Security

  • AWS/Azure cloud với SOC 2 compliance
  • Multi-region backup và failover
  • Network segmentation và VPC
  • DDoS protection và WAF

Application Security

  • Multi-factor authentication (MFA)
  • Role-based access control (RBAC)
  • API rate limiting và throttling
  • Regular security audits và penetration testing

Data Security

  • Database encryption at rest
  • Secure key management (HSM)
  • Data masking và anonymization
  • Automated backup với encryption

4.2. Kiểm soát truy cập

  • Principle of Least Privilege: Nhân viên chỉ được truy cập dữ liệu cần thiết cho công việc
  • Zero Trust Architecture: Xác thực và ủy quyền cho mọi request
  • Session Management: Timeout tự động và secure session handling
  • Audit Logging: Ghi log đầy đủ mọi hoạt động truy cập dữ liệu

4.3. Thời gian lưu trữ

Loại dữ liệuThời gian lưu trữGhi chú
Thông tin tài khoảnTrong suốt thời gian sử dụng dịch vụXóa sau 30 ngày khi hủy tài khoản
Dữ liệu AI conversation3-90 ngày (tùy gói dịch vụ)Có thể xóa theo yêu cầu
CRM dataTheo yêu cầu khách hàngBackup 7 năm cho mục đích audit
Analytics data24 thángAggregated data, không có PII
System logs12 thángCho mục đích security và debugging

5. Chia sẻ thông tin với bên thứ ba

Nguyên tắc: RestAI không bán, cho thuê hoặc chia sẻ dữ liệu khách hàng với bên thứ ba vì mục đích thương mại.

5.1. Các trường hợp chia sẻ hợp pháp

  • Với sự đồng ý rõ ràng: Khi khách hàng yêu cầu tích hợp với hệ thống bên thứ ba
  • Service providers: AWS, Google Cloud, Stripe (chỉ dữ liệu cần thiết, có hợp đồng bảo mật)
  • Yêu cầu pháp lý: Theo lệnh tòa án hoặc yêu cầu từ cơ quan có thẩm quyền
  • Bảo vệ quyền lợi: Ngăn chặn gian lận, bảo vệ an toàn hệ thống

5.2. Đối tác công nghệ

AI/ML Providers

  • OpenAI (GPT models) - chỉ API calls, không lưu trữ
  • Anthropic (Claude) - tương tự OpenAI
  • Google Cloud AI - cho translation và NLP
  • Tất cả đều có Data Processing Agreements

Infrastructure Partners

  • AWS/Azure - hosting và storage
  • Cloudflare - CDN và security
  • MongoDB Atlas - database hosting
  • Stripe - payment processing (không lưu card info)

6. Quyền của khách hàng

6.1. Quyền truy cập và kiểm soát

  • Right to Access: Xem tất cả dữ liệu cá nhân được lưu trữ
  • Right to Rectification: Chỉnh sửa thông tin không chính xác
  • Right to Erasure: Yêu cầu xóa dữ liệu cá nhân
  • Right to Portability: Xuất dữ liệu sang định dạng khác

6.2. Quyền về xử lý dữ liệu

  • Right to Restrict: Hạn chế xử lý dữ liệu trong một số trường hợp
  • Right to Object: Phn đối việc xử lý dữ liệu
  • Right to Withdraw Consent: Rút lại sự đồng ý bất cứ lúc nào
  • Right to Complain: Khiếu nại lên cơ quan có thẩm quyền

6.3. Cách thực hiện quyền

1

Gửi yêu cầu

Email đến [email protected] hoặc qua support portal

2

Xác thực danh tính

Cung cấp thông tin để xác minh quyền sở hữu dữ liệu

3

Xử lý trong 30 ngày

Phản hồi và thực hiện yêu cầu theo quy định pháp luật

7. Bảo mật theo từng module

🤖 AI Tasks Assistant

Bảo mật dữ liệu:

  • Cuộc hội thoại được mã hóa đầu cuối
  • Không chia sẻ với nhà cung cấp AI bên ngoài
  • Tự động xóa theo chính sách lưu trữ
  • Xử lý riêng biệt cho từng khách hàng

Kiểm soát truy cập:

  • Phân quyền theo vai trò
  • Hết hạn phiên và xác thực lại
  • Dấu vết kiểm toán cho mọi tương tác
  • Danh sách IP được phép (doanh nghiệp)

📊 Module CRM

Bảo vệ dữ liệu khách hàng:

  • Mã hóa PII với khóa riêng cho từng khách hàng
  • Che giấu dữ liệu cho người dùng không phải admin
  • Tuân thủ GDPR cho khách hàng EU
  • Kiểm tra chất lượng dữ liệu định kỳ

Phân quyền chi tiết:

  • Kiểm soát truy cập cấp trường dữ liệu
  • Phân tách dữ liệu theo phòng ban
  • Ghi log hoạt động và quy trình phê duyệt
  • Hạn chế xuất dữ liệu

📈 Analytics & Recommendations

Ẩn danh hóa dữ liệu:

  • Tổng hợp thống kê, không có dữ liệu thô
  • Kỹ thuật bảo mật khác biệt
  • K-anonymity cho các chỉ số nhạy cảm
  • Tính toán đa bên an toàn

Bảo mật mô hình:

  • Phương pháp học liên kết
  • Phiên bản mô hình và khôi phục
  • Bảo vệ khỏi tấn công đối kháng
  • AI có thể giải thích cho tính minh bạch

🔍 RAG AI + Web Search

Bảo mật tài liệu:

  • Mã hóa cấp tài liệu và kiểm soát truy cập
  • Vector embeddings không chứa văn bản thô
  • Phân tích và lập chỉ mục tài liệu an toàn
  • Kiểm soát phiên bản với dấu vết kiểm toán

Quyền riêng tư tìm kiếm:

  • Ẩn danh hóa truy vấn
  • Không gọi API tìm kiếm bên ngoài với dữ liệu nhạy cảm
  • Ưu tiên cơ sở tri thức nội bộ
  • Lọc kết quả tìm kiếm theo quyền hạn

8. Tuân thủ pháp lý và tiêu chuẩn quốc tế

Pháp luật Việt Nam

  • Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân
  • Luật An toàn thông tin mạng 2015
  • Luật Công nghệ thông tin 2006
  • Nghị định 85/2016/NĐ-CP về an toàn thông tin

Tiêu chuẩn quốc tế

  • ISO 27001:2013 - Information Security Management
  • SOC 2 Type II - Security, Availability, Confidentiality
  • GDPR compliance cho khách hàng EU
  • CCPA compliance cho khách hàng California

8.1. Chứng nhận và audit

Annual Security Audit

Bởi Big 4 audit firms

Penetration Testing

Quarterly bởi ethical hackers

Compliance Monitoring

Real-time compliance dashboard

9. Liên hệ và hỗ trợ

Data Protection Officer (DPO)

Email: [email protected]

Hotline: 0966 612 000 (ext. 101)

Giờ làm việc: 8:00 - 17:30 (T2-T6)

Địa chỉ công ty

Trụ sở chính: Diamond Flower, Số 48 đường Lê Văn Lương, Hà Nội

Mã số thuế: 0123456789

Website: https://restai.vn

Chính sách này có hiệu lực từ ngày 4/7/2025 và sẽ được cập nhật định kỳ. Mọi thay đổi quan trọng sẽ được thông báo trước ít nhất 30 ngày.