1. Giới thiệu
Thích về nhà ("chúng tôi", "nền tảng") là nền tảng quản lý doanh nghiệp trực tuyến, cung cấp các công cụ quản lý nhân sự, khách hàng, dự án, thu chi, báo giá, kho vật tư, hồ sơ hợp đồng và các nghiệp vụ vận hành doanh nghiệp.
Chính sách này mô tả cách chúng tôi thu thập, sử dụng, lưu trữ và bảo vệ dữ liệu cá nhân cũng như dữ liệu doanh nghiệp của bạn khi sử dụng nền tảng tại thichvenha.vn và các tên miền được liên kết.
Bằng việc đăng ký và sử dụng dịch vụ, bạn đồng ý với các điều khoản trong chính sách này.
2. Dữ liệu chúng tôi thu thập
2.1. Dữ liệu đăng ký doanh nghiệp
| Dữ liệu | Bắt buộc | Mục đích |
|---|---|---|
| Tên doanh nghiệp | Có | Định danh tài khoản, hiển thị trên hồ sơ/hợp đồng |
| Mã số thuế | Không | Xuất hồ sơ, hợp đồng, chứng từ pháp lý |
| Địa chỉ doanh nghiệp | Không | Xuất hồ sơ, tính khoảng cách vận chuyển |
| Họ tên CEO/người đại diện | Có | Tạo tài khoản quản trị viên đầu tiên |
| Có | Đăng nhập (qua Google OAuth), gửi email xác thực, liên lạc | |
| Số điện thoại | Không | Liên lạc hỗ trợ, hiển thị trên hồ sơ nội bộ |
2.2. Dữ liệu nhân sự
Doanh nghiệp tự nhập và quản lý thông tin nhân sự của mình, bao gồm: họ tên, email, số điện thoại, chức danh, mức lương, CCCD/CMND, số tài khoản ngân hàng, ngày sinh, địa chỉ. Đây là dữ liệu do doanh nghiệp chủ động nhập, chúng tôi chỉ lưu trữ và hiển thị theo yêu cầu.
2.3. Dữ liệu khách hàng của doanh nghiệp
Thông tin khách hàng và dự án mà doanh nghiệp tự quản lý: tên, email, điện thoại, địa chỉ, mã dự án, tiến độ công việc.
2.4. Dữ liệu vận hành
Thu chi tài chính, báo giá, đơn giá vật tư, hồ sơ hợp đồng, quy trình công việc, chấm công, báo cáo tổng hợp. Tất cả do doanh nghiệp tự tạo và quản lý.
2.5. Dữ liệu từ hóa đơn/chứng từ (OCR)
Khi sử dụng tính năng quét hóa đơn, ảnh chụp được gửi tới Google Cloud Vision API để nhận dạng chữ, sau đó xử lý bằng Google Gemini AI để phân tích nội dung. Ảnh gốc không được lưu trữ trên server — chỉ dữ liệu đã phân tích (tên hàng, số tiền, ngày) được lưu.
3. Mục đích sử dụng dữ liệu
Chúng tôi sử dụng dữ liệu của bạn chỉ cho các mục đích sau:
- Cung cấp dịch vụ: Vận hành nền tảng quản lý doanh nghiệp, hiển thị thông tin, xử lý nghiệp vụ.
- Xác thực danh tính: Đăng nhập qua Google OAuth, xác minh email khi đăng ký.
- Bảo mật: Phân quyền truy cập, kiểm tra phiên đăng nhập, cô lập dữ liệu giữa các doanh nghiệp.
- Hỗ trợ kỹ thuật: Liên hệ khi có sự cố hoặc yêu cầu hỗ trợ từ bạn.
- Gửi thông báo: Thông qua email (xác thực tài khoản) hoặc Zalo OA (nếu doanh nghiệp tự cấu hình tích hợp).
4. Dịch vụ bên thứ ba & liên kết dữ liệu
Nền tảng tích hợp với các dịch vụ bên thứ ba sau. Mỗi dịch vụ hoạt động theo chính sách bảo mật riêng của họ:
| Dịch vụ | Dữ liệu gửi đi | Mục đích | Tùy chọn |
|---|---|---|---|
| Google OAuth | Email, tên Google | Xác thực đăng nhập | Bắt buộc |
| Supabase | Toàn bộ dữ liệu vận hành | Lưu trữ database chính | Bắt buộc |
| Google Drive | File đính kèm (hợp đồng, ảnh, PDF) | Lưu trữ cloud do CEO liên kết | Tùy chọn — CEO tự quyết định liên kết |
| Google Cloud Vision | Ảnh hóa đơn (tạm thời, không lưu) | OCR nhận dạng chữ trên hóa đơn | Tùy chọn — chỉ khi dùng tính năng quét |
| Google Gemini AI | Text đã OCR (không ảnh) | Phân tích nội dung hóa đơn | Tùy chọn — chỉ khi dùng tính năng quét |
| Zalo OA API | Tin nhắn, user ID Zalo | Gửi thông báo qua Zalo | Tùy chọn — CEO tự cấu hình |
| Lalamove API | Địa chỉ giao nhận, SĐT | Đặt xe vận chuyển | Tùy chọn — CEO tự cấu hình |
| Resend | Email người nhận | Gửi email xác thực đăng ký | Bắt buộc khi đăng ký |
Lưu ý: Khi CEO liên kết Google Drive, file được lưu trên tài khoản Google Drive của chính CEO — không phải trên server của chúng tôi. Chúng tôi chỉ lưu access token để upload/download thay mặt doanh nghiệp, token này được mã hóa và lưu trong database bảo mật.
5. Lưu trữ & bảo mật dữ liệu
5.1. Nơi lưu trữ
Dữ liệu được lưu trữ trên Supabase (khu vực Singapore, Asia-Pacific) — một nền tảng database dựa trên PostgreSQL với các tiêu chuẩn bảo mật doanh nghiệp. Supabase tuân thủ SOC 2 Type II và sử dụng mã hóa AES-256 cho dữ liệu lưu trữ (encryption at rest).
5.2. Các lớp bảo mật
- SSL/TLS (HTTPS): Mọi kết nối giữa trình duyệt và server đều được mã hóa bằng chứng chỉ SSL, đảm bảo dữ liệu không bị đọc trên đường truyền.
- Google OAuth 2.0: Xác thực danh tính qua Google — chúng tôi không lưu trữ mật khẩu của bạn.
- Row Level Security (RLS): Cơ chế bảo vệ ở tầng database PostgreSQL, đảm bảo mỗi doanh nghiệp chỉ truy cập được dữ liệu của chính mình. Kể cả khi có lỗi ở tầng ứng dụng, database vẫn tự động lọc dữ liệu theo đúng doanh nghiệp.
- Multi-tenant isolation: Mỗi doanh nghiệp được phân tách bằng mã định danh riêng (tenant_id). Server xác định doanh nghiệp từ tên miền — không phải từ thông tin do người dùng gửi lên.
- Cross-verify server-side: Mỗi lần truy cập trang, hệ thống xác minh lại với server rằng tài khoản vẫn hợp lệ và thuộc đúng doanh nghiệp.
- Edge Functions (service_role): Các tác vụ nhạy cảm (xác thực, đọc cấu hình doanh nghiệp) chạy trên server — frontend không trực tiếp truy cập database quản trị.
5.3. Thời gian lưu trữ
Dữ liệu được lưu trữ trong suốt thời gian doanh nghiệp sử dụng dịch vụ. Khi doanh nghiệp yêu cầu xóa tài khoản, toàn bộ dữ liệu sẽ được xóa trong vòng 30 ngày làm việc (xem Mục 8).
6. Cam kết không bán & không chia sẻ dữ liệu
- Không bán dữ liệu của bạn cho bất kỳ bên thứ ba nào, dưới bất kỳ hình thức nào, bao gồm cả dạng ẩn danh hoặc tổng hợp.
- Không chia sẻ dữ liệu với bên thứ ba ngoài các dịch vụ kỹ thuật cần thiết để vận hành nền tảng (đã liệt kê tại Mục 4).
- Không sử dụng dữ liệu để huấn luyện mô hình AI, phân tích xu hướng thị trường, hoặc bất kỳ mục đích nghiên cứu nào.
- Không hiển thị quảng cáo trên nền tảng và không chia sẻ dữ liệu với các mạng quảng cáo.
- Không truy cập dữ liệu nội bộ của doanh nghiệp bạn trừ khi có yêu cầu hỗ trợ kỹ thuật bằng văn bản từ người đại diện doanh nghiệp, hoặc theo yêu cầu của cơ quan pháp luật có thẩm quyền.
7. Quyền của người dùng
Bạn có các quyền sau đối với dữ liệu của mình:
- Quyền truy cập: Xem toàn bộ dữ liệu doanh nghiệp đã lưu trên hệ thống thông qua giao diện quản lý.
- Quyền chỉnh sửa: Cập nhật, sửa đổi bất kỳ thông tin nào thông qua giao diện quản lý.
- Quyền xuất dữ liệu: Tải xuống dữ liệu dưới dạng file (Excel, PDF) từ các trang quản lý.
- Quyền xóa: Xóa từng mục dữ liệu qua giao diện, hoặc yêu cầu xóa toàn bộ tài khoản doanh nghiệp (xem Mục 8).
- Quyền ngắt liên kết: Ngắt kết nối Google Drive, Zalo OA, hoặc bất kỳ dịch vụ bên thứ ba nào bất kỳ lúc nào từ trang Cấu hình hệ thống.
8. Xóa dữ liệu
8.1. Xóa từng mục
Bạn có thể xóa từng nhân sự, khách hàng, giao dịch thu chi, báo giá, v.v. trực tiếp trên giao diện quản lý. Dữ liệu bị xóa sẽ được loại bỏ vĩnh viễn khỏi database.
8.2. Xóa toàn bộ tài khoản doanh nghiệp
Người đại diện doanh nghiệp (CEO/quản trị viên) có thể yêu cầu xóa toàn bộ tài khoản bằng cách gửi email tới thien747@thienoi.vn với tiêu đề "Yêu cầu xóa tài khoản" kèm thông tin xác minh (tên doanh nghiệp, email đăng ký, mã số thuế nếu có).
Sau khi xác minh, chúng tôi sẽ:
- Xóa toàn bộ dữ liệu doanh nghiệp khỏi database trong vòng 30 ngày làm việc.
- Thông báo xác nhận hoàn tất xóa qua email.
- Lưu ý: File trên Google Drive thuộc tài khoản CEO — chúng tôi chỉ xóa token liên kết, không xóa file trên Drive (bạn tự quản lý Drive của mình).
8.3. Đăng ký chưa xác thực
Tài khoản đăng ký nhưng không xác thực email trong vòng 24 giờ sẽ tự động bị xóa khỏi hệ thống.
9. Cookie & localStorage
Chúng tôi không sử dụng cookie theo dõi (tracking cookies) hay cookie quảng cáo.
Hệ thống sử dụng localStorage trên trình duyệt của bạn để lưu phiên đăng nhập (session) và thông tin hiển thị cơ bản (tên, chức danh, mã doanh nghiệp). Dữ liệu này chỉ tồn tại trên thiết bị của bạn và bị xóa khi đăng xuất.
Supabase sử dụng cookie kỹ thuật tối thiểu cho việc duy trì phiên đăng nhập (authentication session), không cho mục đích theo dõi.
10. Tuyên bố từ chối trách nhiệm
10.1. Về tính chính xác của dữ liệu
Dữ liệu nhân sự, khách hàng, thu chi, báo giá và các thông tin nghiệp vụ khác do doanh nghiệp tự nhập và quản lý. Chúng tôi cung cấp công cụ lưu trữ và hiển thị, nhưng không chịu trách nhiệm về tính chính xác, đầy đủ hoặc hợp pháp của dữ liệu do doanh nghiệp nhập vào.
10.2. Về tính khả dụng
Chúng tôi nỗ lực duy trì dịch vụ hoạt động liên tục, tuy nhiên không cam kết uptime 100%. Dịch vụ có thể tạm gián đoạn do bảo trì hệ thống, cập nhật tính năng, hoặc các sự cố ngoài tầm kiểm soát (thiên tai, lỗi nhà cung cấp hạ tầng). Chúng tôi sẽ thông báo trước khi bảo trì có kế hoạch.
10.3. Về thiệt hại
Trong phạm vi pháp luật cho phép, Thích về nhà không chịu trách nhiệm về bất kỳ thiệt hại trực tiếp, gián tiếp, ngẫu nhiên, đặc biệt hoặc hậu quả nào phát sinh từ việc sử dụng hoặc không thể sử dụng dịch vụ, bao gồm nhưng không giới hạn: mất dữ liệu, mất doanh thu, gián đoạn kinh doanh.
10.4. Về dịch vụ bên thứ ba
Chúng tôi tích hợp các dịch vụ của Google, Supabase, Zalo, Lalamove và Resend. Mỗi dịch vụ hoạt động theo chính sách riêng của họ. Chúng tôi không chịu trách nhiệm về sự cố, thay đổi chính sách, hoặc gián đoạn từ các dịch vụ bên thứ ba này.
10.5. Về tính năng OCR/AI
Tính năng quét hóa đơn sử dụng AI để nhận dạng và phân tích. Kết quả có thể không chính xác 100% — người dùng có trách nhiệm kiểm tra và chỉnh sửa trước khi sử dụng.
11. Điều khoản sử dụng dịch vụ
11.1. Điều kiện sử dụng
- Bạn phải là người đại diện hợp pháp của doanh nghiệp hoặc được ủy quyền để đăng ký.
- Thông tin đăng ký phải chính xác và trung thực.
- Bạn chịu trách nhiệm bảo mật tài khoản Google dùng để đăng nhập.
11.2. Hành vi bị cấm
- Sử dụng nền tảng cho mục đích bất hợp pháp.
- Cố ý truy cập dữ liệu của doanh nghiệp khác.
- Tấn công, khai thác lỗ hổng, hoặc can thiệp vào hoạt động của hệ thống.
- Đăng ký hàng loạt tài khoản giả mạo (spam).
11.3. Chấm dứt dịch vụ
Chúng tôi có quyền tạm ngưng hoặc chấm dứt tài khoản nếu phát hiện vi phạm điều khoản, với thông báo trước qua email. Bạn có quyền ngưng sử dụng và yêu cầu xóa dữ liệu bất kỳ lúc nào (Mục 8).
12. Thay đổi chính sách
Chúng tôi có thể cập nhật chính sách này theo thời gian. Khi có thay đổi quan trọng, chúng tôi sẽ thông báo qua email hoặc hiển thị trên giao diện đăng nhập. Ngày cập nhật được ghi ở đầu trang.
Việc tiếp tục sử dụng dịch vụ sau khi thay đổi chính sách đồng nghĩa với việc bạn chấp nhận phiên bản mới.
13. Liên hệ
Nếu bạn có câu hỏi, yêu cầu hoặc khiếu nại liên quan đến chính sách bảo mật, vui lòng liên hệ:
| thien747@thienoi.vn | |
| Website | thichvenha.vn |
Chúng tôi cam kết phản hồi trong vòng 3 ngày làm việc.