Bỏ qua đến nội dung chính
Halong24hHalong24h
← Trang chủ

Chính sách bảo mật

Halong24h cam kết bảo vệ dữ liệu cá nhân theo Nghị định 13/2023/NĐ-CP.

Cập nhật lần cuối: 11/05/2026

Tóm tắt

  • Chúng tôi thu thập tối thiểu dữ liệu cần thiết để vận hành.
  • KHÔNG bán dữ liệu cho bên thứ ba.
  • Chia sẻ thông tin liên lạc + CCCD với chủ nhà CHỈ KHI bạn đồng ý + đã book phòng.
  • Bạn có quyền truy cập / sửa / xóa dữ liệu (Nghị định 13).
  • Yêu cầu xóa account → 30 ngày grace → hard delete (chat log retain 5 năm cho dispute).

1. Thông tin chúng tôi thu thập

  • Thông tin tài khoản: họ tên, email, số điện thoại, mật khẩu (đã hash bcrypt).
  • Thông tin định danh: CCCD/CMND khi bạn book phòng (xuất trình tại check-in, không lưu trên platform). Ảnh CCCD KHÔNG được upload qua chat.
  • Thông tin booking: ngày, số khách, ghi chú đặc biệt, lịch sử đặt phòng.
  • Chat log: tin nhắn + ảnh + video bạn gửi/nhận trong chat in-app. Dùng làm evidence cho dispute.
  • Biên lai chuyển khoản: ảnh biên lai bạn upload vào chat khi cọc (chỉ làm evidence, KHÔNG dùng cho mục đích khác).
  • Cookies + session: token đăng nhập (httpOnly), language preference, analytics tổng hợp (không định danh cá nhân).
  • Device fingerprint: User-Agent, IP (anonymized), device ID — dùng cho anti-spam + bảo mật.

Chúng tôi KHÔNG lưu:

  • Số thẻ ngân hàng / mã CVV (vì không xử lý payment trên platform)
  • Mật khẩu plain text (chỉ hash bcrypt)
  • Vị trí GPS realtime của bạn

2. Cách chúng tôi sử dụng dữ liệu

  • Xử lý yêu cầu booking + lưu lịch sử
  • Liên lạc giữa khách và chủ nhà qua chat in-app
  • Gửi email xác nhận booking, ký hợp đồng điện tử, nhắc nhở check-in
  • Cải thiện dịch vụ (analytics tổng hợp, không định danh)
  • Phòng chống lừa đảo + bảo mật tài khoản
  • Cung cấp evidence cho dispute resolution + cơ quan thẩm quyền (theo yêu cầu pháp lý)

3. Chia sẻ với bên thứ ba

3.1. Chủ nhà bạn book phòng

Chỉ chia sẻ KHI bạn đồng ý + đã book phòng:

  • Trước khi cọc: chủ chỉ thấy username + avatar + chat history. KHÔNG thấy SĐT / email / CCCD.
  • Sau khi CONFIRMED: chủ thấy thêm SĐT + email (cho emergency contact lúc check-in). Vẫn KHÔNG có CCCD.
  • Tại check-in: bạn xuất trình CCCD bản gốc — chủ chụp lại để khai báo công an theo quy định lưu trú. Chủ KHÔNG được lưu hoặc gửi lại CCCD này ra ngoài.

Theo Nghị định 13/2023/NĐ-CP, việc chia sẻ này yêu cầu sự đồng ý rõ ràng của bạn — checkbox riêng trong form booking.

3.2. Cơ quan thẩm quyền

Halong24h cung cấp dữ liệu cho cơ quan thẩm quyền (công an, tòa án, cơ quan thuế) khi có yêu cầu hợp pháp bằng văn bản, theo đúng quy định pháp luật Việt Nam.

3.3. KHÔNG bán dữ liệu

Chúng tôi KHÔNG bán dữ liệu cá nhân của bạn cho công ty marketing, môi giới dữ liệu, hoặc bên thứ ba khác.

4. Quyền của bạn (Nghị định 13/2023)

  • Quyền truy cập: yêu cầu danh sách dữ liệu chúng tôi đang lưu về bạn
  • Quyền sửa: yêu cầu chỉnh sửa thông tin sai
  • Quyền xóa: yêu cầu xóa account + dữ liệu liên quan (xem mục 5)
  • Quyền hạn chế xử lý: yêu cầu tạm dừng xử lý dữ liệu trong khi xét lại
  • Quyền chuyển dữ liệu: yêu cầu xuất dữ liệu của bạn dạng JSON/CSV
  • Quyền từ chối: opt-out marketing email bất cứ lúc nào
  • Quyền khiếu nại: liên hệ Cục An toàn thông tin (Bộ TT&TT) nếu chúng tôi vi phạm

Để thực hiện các quyền trên, vào /account hoặc gửi email tới halong24h.team@gmail.com. Chúng tôi xử lý trong 7 ngày làm việc.

5. Xóa tài khoản — Grace 30 ngày

  1. Vào /account → Xoá tài khoản → confirm 2 lần
  2. Account ngay lập tức vô hiệu hóa (không login được, không hiển thị trong tìm kiếm, chủ nhà không nhắn được)
  3. Trong 30 ngày: bạn có thể khôi phục bằng email reset password
  4. Email reminder ngày 25: "Account sẽ xóa vĩnh viễn sau 5 ngày"
  5. Sau 30 ngày: hard delete dữ liệu cá nhân (tên, email, SĐT, avatar). Chat log + booking history được anonymize (đổi tên thành "Khách đã xóa") và retain 5 năm cho dispute / yêu cầu cơ quan thẩm quyền (theo Bộ luật Dân sự VN — thời hiệu khởi kiện 3 năm + buffer 2 năm).

6. Thời gian lưu trữ

  • Account active: lưu cho tới khi bạn yêu cầu xóa
  • Account đã xóa: 30 ngày grace → hard delete personal data
  • Chat log: 5 năm sau khi booking kết thúc (theo thời hiệu dân sự)
  • Booking history: 5 năm (anonymized sau khi xóa account)
  • Audit log (login, IP): 1 năm
  • Cookies session: 7 ngày refresh, 15 phút access

7. Bảo mật kỹ thuật

  • HTTPS bắt buộc cho mọi traffic (TLS 1.3)
  • Mật khẩu hash bcrypt cost 12+
  • JWT token httpOnly + secure + sameSite=strict
  • Database encryption at rest
  • Backup hàng ngày, retain 30 ngày
  • 2FA cho nhân viên admin
  • Audit log mọi truy cập dữ liệu khách hàng
  • Pen-test định kỳ + bug bounty (sắp ra mắt)

8. Cookie

Chúng tôi dùng cookie cho:

  • Cần thiết (always on): session login (hl_at, hl_rt), cart, language
  • Analytics (opt-in): Plausible / Vercel Analytics — không track cross-site
  • Marketing (opt-in): Facebook Pixel cho remarketing — default OFF

Quản lý preferences trong ở footer.

9. Trẻ em dưới 16 tuổi

Halong24h không cố ý thu thập dữ liệu trẻ em dưới 16 tuổi. Account đăng ký phải có chủ ≥ 18 tuổi (theo CCCD). Nếu phát hiện account của trẻ em được tạo mà không có sự đồng ý của người giám hộ, chúng tôi sẽ xóa ngay lập tức.

10. Thay đổi chính sách

Khi có thay đổi quan trọng, chúng tôi thông báo qua email + banner trên web ít nhất 7 ngày trước khi áp dụng. Bản cũ được lưu lại tại repository policy (sẽ ra mắt) để tham chiếu.

11. Liên hệ Data Protection Officer

  • Email: halong24h.team@gmail.com (subject: "DPO Request")
  • Hotline: 0325 992 001
  • Cơ quan thẩm quyền: Cục An toàn thông tin — Bộ Thông tin và Truyền thông — ais.gov.vn
Halong24h — Villa & Homestay cao cấp tại Hạ Long