Chính sách Xử lý Dữ liệu Cá nhân

XSCORE thu thập dữ liệu cá nhân để: • Vận hành và cung cấp dịch vụ phần mềm Tele-HRMS • Xử lý thanh toán và giao dịch tài chính • Liên lạc, hỗ trợ và chăm sóc khách hàng • Cải thiện sản phẩm và phát triển tính năng mới • Gửi thông tin marketing (với sự đồng ý) • Tuân thủ yêu cầu pháp lý và báo cáo cơ quan có thẩm quyền • Phân tích hành vi người dùng để cá nhân hóa trải nghiệm

Dữ liệu cá nhân cơ bản: • Họ tên, ngày sinh, giới tính • Email, số điện thoại, địa chỉ liên hệ • Thông tin tài khoản (mã hóa) • Địa chỉ IP, thiết bị, trình duyệt Dữ liệu giao dịch: • Lịch sử thanh toán, hóa đơn • Thông tin tài khoản ngân hàng (tokenized) Dữ liệu tự động thu thập: • Cookies, clear gifs, web beacons • Lịch sử hoạt động trên hệ thống • Dữ liệu từ dịch vụ tích hợp (Google, Apple ID) XSCORE KHÔNG thu thập dữ liệu về tôn giáo, quan điểm chính trị.

Dữ liệu được sử dụng để: • Xác thực và bảo mật tài khoản người dùng • Xử lý giao dịch thanh toán an toàn • Gửi thông báo về dịch vụ và cập nhật • Hỗ trợ kỹ thuật và chăm sóc khách hàng • Phân tích với Google Analytics (dữ liệu ẩn danh) • Cá nhân hóa nội dung và quảng cáo • Tuân thủ nghĩa vụ pháp lý Bạn có thể từ chối nhận thông tin marketing bất cứ lúc nào.

XSCORE KHÔNG bán dữ liệu cá nhân của bạn. Chúng tôi chỉ chia sẻ với: • Nhà cung cấp thanh toán: SePay, Polar (tuân thủ PCI DSS) • Dịch vụ phân tích: Google Analytics (dữ liệu ẩn danh) • Nhà cung cấp hosting: Google Cloud Platform, FPT Smart Cloud • Cơ quan nhà nước: Khi có yêu cầu pháp lý hợp lệ Tất cả đối tác phải ký cam kết bảo mật và tuân thủ tiêu chuẩn tương đương. Trong trường hợp tổ chức lại doanh nghiệp, dữ liệu có thể được chuyển giao với điều kiện bên nhận đáp ứng tiêu chuẩn bảo mật không kém hơn.

Biện pháp bảo vệ: • Mã hóa AES-256-GCM khi lưu trữ (encrypt-at-rest) • Truyền tải qua TLS 1.3/HTTPS (encrypt-in-transit) • Mật khẩu được mã hóa end-to-end • Xác thực 2 lớp (2FA) tùy chọn Vị trí lưu trữ: • GCP Singapore (chính) • FPT Smart Cloud Việt Nam (dữ liệu theo quy định pháp luật VN) Thời gian lưu trữ: • Dữ liệu tài khoản: Đến khi xóa tài khoản + 30 ngày • Dữ liệu giao dịch: 7 năm (theo luật kế toán) • Dữ liệu analytics: 2 năm • Cookies: Theo Chính sách Cookie

Theo Luật Bảo vệ DLCN 2025, bạn có quyền: • Quyền được biết về hoạt động xử lý dữ liệu • Quyền đồng ý hoặc không đồng ý • Quyền truy cập và xem dữ liệu của mình • Quyền chỉnh sửa thông tin không chính xác • Quyền xóa dữ liệu cá nhân • Quyền hạn chế xử lý dữ liệu • Quyền rút lại sự đồng ý bất cứ lúc nào • Quyền phản đối xử lý dữ liệu • Quyền khiếu nại, tố cáo, khởi kiện • Quyền yêu cầu bồi thường thiệt hại Thời gian phản hồi: 30 ngày làm việc kể từ khi nhận yêu cầu hợp lệ.

Nhân viên Bảo vệ Dữ liệu (DPO): Email: [email protected] Hotline: +84 88 9615586 Địa chỉ: XSCORE LIMITED COMPANY Mã số thuế: 0318073634 Việt Nam Chính sách này có hiệu lực từ 28/01/2026 và được điều chỉnh theo pháp luật Việt Nam.