Chính sách bảo mật

1. Chúng tôi thu thập thông tin gì?

NS Quizz thu thập các dữ liệu tối thiểu cần thiết để cung cấp dịch vụ:

• Host: địa chỉ email (dùng để đăng nhập, thông báo), mật khẩu đã mã hóa (bcrypt), và metadata hoạt động (thời gian tạo phòng, kết quả phiên chơi).
• Người chơi: biệt danh (nickname) tự đặt — không yêu cầu tài khoản, email hay thông tin cá nhân. Biệt danh được liên kết với phiên chơi và điểm số tương ứng.
• Nội dung do Host tải lên: hình ảnh câu hỏi/đáp án — lưu trên máy chủ của chúng tôi.
• Cookie phiên làm việc: cookie kỹ thuật cần thiết để duy trì trạng thái đăng nhập (session cookie, tự xóa khi đóng trình duyệt hoặc hết hạn).
• Dữ liệu kỹ thuật: địa chỉ IP, loại trình duyệt/thiết bị (phục vụ bảo mật và gỡ lỗi), thống kê sử dụng dịch vụ ẩn danh.

Chúng tôi không thu thập họ tên, số điện thoại, địa chỉ thực hay thông tin thanh toán.

2. Mục đích xử lý dữ liệu

• Cung cấp, duy trì và cải thiện dịch vụ NS Quizz.
• Xác thực danh tính Host và bảo mật tài khoản.
• Gửi thông báo kỹ thuật, cập nhật điều khoản (email Host).
• Phát hiện và ngăn chặn hành vi gian lận, lạm dụng dịch vụ.
• Phân tích thống kê ẩn danh để cải thiện trải nghiệm người dùng.

3. Cơ sở pháp lý

Chúng tôi xử lý dữ liệu cá nhân trên các cơ sở sau, phù hợp với Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân:

• Hợp đồng: xử lý email và thông tin tài khoản Host để cung cấp dịch vụ.
• Đồng ý: gửi email thông báo không bắt buộc (nếu có).
• Lợi ích hợp pháp: bảo mật hệ thống, phòng chống gian lận, thống kê ẩn danh.

4. Lưu trữ và thời hạn

• Dữ liệu tài khoản Host: lưu trữ cho đến khi tài khoản bị xóa. Sau khi xóa, dữ liệu bị purge trong vòng 30 ngày.
• Kết quả phiên chơi (điểm số, biệt danh người chơi): lưu tối đa 90 ngày sau phiên chơi, sau đó tự động xóa.
• Hình ảnh tải lên: lưu gắn với quiz; bị xóa khi Host xóa quiz hoặc tài khoản.
• Log kỹ thuật: tối đa 30 ngày.

Dữ liệu được lưu trữ trên máy chủ đặt tại Việt Nam hoặc trong khu vực châu Á–Thái Bình Dương.

5. Chia sẻ với bên thứ ba

Chúng tôi không bán dữ liệu cá nhân. Dữ liệu có thể được chia sẻ với các bên sau trong phạm vi tối thiểu cần thiết:

• Resend — nhà cung cấp dịch vụ gửi email giao dịch (xác nhận tài khoản, đặt lại mật khẩu). Chỉ nhận địa chỉ email Host. Xem chính sách bảo mật tại resend.com/privacy.
• Nhà cung cấp hạ tầng (hosting/CDN): phục vụ lưu trữ và truyền tải dữ liệu kỹ thuật.
• Công cụ phân tích ẩn danh (nếu có): chỉ dữ liệu tổng hợp, không định danh cá nhân.

Các bên thứ ba này cam kết xử lý dữ liệu theo tiêu chuẩn bảo mật tương đương.

6. Dữ liệu trẻ em và học sinh

NS Quizz được thiết kế phục vụ môi trường giáo dục, nơi người chơi có thể là học sinh dưới 18 tuổi. Chúng tôi không yêu cầu học sinh cung cấp bất kỳ thông tin cá nhân nào — người chơi chỉ cần nhập biệt danh tự chọn.

Host (giáo viên, người tổ chức) có trách nhiệm:

• Thông báo cho học sinh và phụ huynh/người giám hộ về việc sử dụng dịch vụ.
• Không yêu cầu học sinh nhập thông tin cá nhân thật vào nickname.
• Bảo đảm nội dung quiz phù hợp với độ tuổi và môi trường học đường.

Nếu chúng tôi phát hiện tài khoản thu thập dữ liệu cá nhân của trẻ em không đúng quy định, chúng tôi sẽ xóa dữ liệu đó ngay lập tức.

7. Quyền của chủ thể dữ liệu (theo Nghị định 13/2023/NĐ-CP)

Là Host, bạn có các quyền sau đối với dữ liệu cá nhân của mình:

• Quyền được biết: biết dữ liệu nào đang được thu thập và mục đích sử dụng.
• Quyền đồng ý/rút đồng ý: rút lại sự đồng ý xử lý dữ liệu bất kỳ lúc nào (có thể ảnh hưởng đến khả năng sử dụng một số tính năng).
• Quyền truy cập: yêu cầu bản sao dữ liệu cá nhân chúng tôi đang lưu giữ.
• Quyền chỉnh sửa: yêu cầu cập nhật dữ liệu không chính xác.
• Quyền xóa: yêu cầu xóa tài khoản và toàn bộ dữ liệu liên quan.
• Quyền hạn chế xử lý: yêu cầu tạm dừng xử lý trong khi khiếu nại đang được xem xét.
• Quyền phản đối: phản đối việc xử lý dữ liệu vì mục đích marketing hoặc lợi ích hợp pháp.

Để thực hiện các quyền trên, gửi yêu cầu qua email bên dưới. Chúng tôi sẽ phản hồi trong vòng 72 giờ làm việc.

8. Bảo mật dữ liệu

Chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu, bao gồm: mã hóa mật khẩu (bcrypt), kết nối HTTPS/TLS, kiểm soát truy cập nội bộ và giám sát bảo mật định kỳ. Tuy nhiên, không hệ thống nào bảo mật tuyệt đối — chúng tôi cam kết thông báo kịp thời nếu xảy ra sự cố rò rỉ dữ liệu theo quy định pháp luật.

9. Thay đổi chính sách

Chính sách này có thể được cập nhật. Thay đổi đáng kể sẽ được thông báo qua email (với Host) và hiển thị trên trang này ít nhất 7 ngày trước khi có hiệu lực.

10. Liên hệ

Mọi câu hỏi, yêu cầu thực hiện quyền hoặc báo cáo sự cố liên quan đến dữ liệu cá nhân, vui lòng liên hệ:

Email: son@giaiphapmoipro.vn
Đơn vị: Giải Pháp Mới Pro