Chính sách bảo mật

Đất Vàng Phú Quốc(“chúng tôi”, “dịch vụ”) cam kết bảo vệ thông tin cá nhân của người dùng theo tinh thần Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân. Tài liệu này mô tả những thông tin chúng tôi thu thập, mục đích sử dụng, cách lưu trữ và quyền của bạn đối với những thông tin đó.

Bằng cách đăng ký tài khoản, đăng nhập bằng Google, hoặc tiếp tục sử dụng website, bạn đồng ý với các điều khoản trong chính sách này cũng như Điều khoản sử dụng kèm theo.

1. Thông tin chúng tôi thu thập

Bạn có 2 cách để đăng ký / đăng nhập. Mỗi cách thu thập dữ liệu khác nhau — chúng tôi liệt kê tách biệt để rõ ràng:

1.1. Khi bạn đăng ký bằng email + mật khẩu (cách truyền thống)

Bạn nhập trực tiếp vào form đăng ký trên website. Chúng tôi lưu:

• Địa chỉ email và tên đăng nhập bạn nhập trong form.
• Số điện thoại Việt Nam (bắt buộc) — định dạng 0XXXXXXXXX hoặc +84XXXXXXXXX. Dùng để liên hệ khi cần thiết (vd hỗ trợ pháp lý, xác minh giao dịch BĐS) và đảm bảo mỗi tài khoản gắn với một định danh thực tế. Một số điện thoại chỉ dùng cho một tài khoản.
• Mật khẩu — được mã hóa một chiều theo chuẩn ngành ngay khi nhận được. Bản gốc không bao giờ được lưu trữ hay ghi log. Khi bạn đăng nhập sau này, hệ thống chỉ đối chiếu phiên bản đã mã hóa, không truy cập được mật khẩu thật.
• Địa chỉ IP tại thời điểm đăng ký và mỗi lần đăng nhập (lưu trong server log, retention 90 ngày) — chống lạm dụng.
• Thời gian tạo tài khoản, đăng nhập lần cuối, cập nhật profile.

1.2. Khi bạn đăng nhập bằng Google (Google OAuth)

Quan trọng: mật khẩu Google của bạn không bao giờ đến với chúng tôi. Bạn nhập mật khẩu trực tiếp trên trang đăng nhập của Google (accounts.google.com). Google chỉ gửi về cho chúng tôi một token xác thực + những trường profile cơ bản mà bạn cho phép chia sẻ — liệt kê dưới đây:

• Địa chỉ email của tài khoản Google (scope: email).
• Tên hiển thị và ảnh đại diện profile của bạn (scope: profile).
• Google account ID để liên kết phiên đăng nhập sau (không phải thông tin nhạy cảm).
• Địa chỉ IP + thời gian đăng nhập tại phía chúng tôi — giống mục 1.1. Lưu ý: chúng tôi không lưu trữ mật khẩu, không có hash mật khẩu — bạn quản lý mật khẩu ở phía Google.

Chúng tôi không yêu cầu quyền truy cập Gmail, Drive, Calendar, Contacts hay bất kỳ scope nhạy cảm nào khác. Bạn có thể xem chính xác những quyền đã cấp + thu hồi bất kỳ lúc nào tại myaccount.google.com/permissions.

Hai cách đăng nhập liên kết với cùng một tài khoản dựa trên địa chỉ email. Nếu bạn lần đầu đăng ký bằng email/mật khẩu rồi sau đó đăng nhập bằng Google cùng địa chỉ email, hai phiên sẽ trỏ về một tài khoản duy nhất — bạn không tạo bản sao.

Sau khi đăng nhập Google lần đầu, hệ thống sẽ đưa bạn đến trang cập nhật số điện thoại(cùng yêu cầu như khi đăng ký bằng email). Google không chia sẻ số điện thoại của bạn cho ứng dụng bên thứ ba, nên chúng tôi cần thu thập trực tiếp. Bạn không thể truy cập các công cụ trên website cho đến khi hoàn tất bước này.

1.3. Khi bạn sử dụng các công cụ

• Lịch sử tính toán tại Tính tiền sử dụng đất (số tờ, số thửa, kết quả) — dùng cho audit + cải thiện thuật toán.
• Truy vấn thửa đất không lưu định danh user — chỉ là log truy cập ẩn danh.
• Lựa chọn lớp bản đồ hiện tại lưu trong session client-side (localStorage), không gửi về server.

1.4. Cookie

Website sử dụng một cookie chức năng duy nhất để duy trì phiên đăng nhập của bạn — cookie này hết hạn sau 24 giờ và được bảo vệ theo chuẩn ngành (không thể đọc từ JavaScript, chỉ gửi qua HTTPS, không gửi qua liên kết từ trang khác). Chúng tôi không dùng cookie quảng cáo, không tracking cross-site.

2. Cách chúng tôi sử dụng thông tin

• Xác thực phiên đăng nhập, duy trì trạng thái đăng nhập và phân quyền truy cập (Miễn phí / Premium / VIP).
• Gửi email giao dịch: xác nhận tài khoản, đặt lại mật khẩu, thông báo nâng cấp gói.
• Audit log nội bộ chống truy cập trái phép (IP, timestamps).
• Phản hồi yêu cầu hỗ trợ qua hotro@datvangphuquoc.vn.
• Cải thiện trải nghiệm: phân tích pattern truy vấn tính tiền sử dụng đất (ẩn danh).

Chúng tôi không sử dụng dữ liệu cá nhân để gửi email quảng cáo, không bán dữ liệu, không profile hành vi cho mục đích quảng cáo.

3. Lưu trữ và bảo mật

• Máy chủ: hệ thống vận hành trên hạ tầng đặt tại Việt Nam. Dữ liệu được lưu trong cơ sở dữ liệu cách ly khỏi internet công cộng.
• Mật khẩu: được mã hóa một chiều theo chuẩn ngành. Bản gốc không bao giờ được lưu trữ hay ghi log.
• Phiên đăng nhập: được ký mã hóa an toàn; khóa bí mật được bảo vệ nghiêm ngặt và không xuất hiện trong code hay log.
• Sao lưu: dữ liệu được sao lưu định kỳ trên hạ tầng tự quản, không gửi ra bên thứ ba.
• Thời gian lưu trữ: dữ liệu tài khoản giữ cho tới khi bạn yêu cầu xoá. Log truy cập giữ tối đa 90 ngày.
• HTTPS: toàn bộ traffic được mã hóa qua chứng chỉ TLS hiện đại.

4. Chia sẻ với bên thứ ba

Chúng tôi không bán, không cho thuê, không trao đổi thông tin cá nhân cho bên thứ ba cho mục đích thương mại. Các nhà cung cấp dịch vụ kỹ thuật chúng tôi sử dụng (mỗi bên chỉ thấy phần dữ liệu cần thiết để cung cấp dịch vụ):

• Google LLC — nếu bạn dùng Google OAuth để đăng nhập. Google thấy việc bạn đăng nhập vào dịch vụ của chúng tôi, theo chính sách bảo mật của Google.
• Dịch vụ gửi email — gửi email giao dịch tới bạn. Bên cung cấp dịch vụ thấy địa chỉ email và nội dung email gửi đi.
• Dịch vụ thông báo nội bộ — gửi thông báo cho quản trị viên khi có hoạt động cần xem xét.
• Google Maps Platform — render bản đồ nền. Không chia sẻ thông tin tài khoản; Google nhận tile request kèm IP (theo chính sách Google Maps).
• Dịch vụ CDN và bảo vệ DDoS — đảm bảo tốc độ truy cập và an ninh. Bên cung cấp dịch vụ có thể thấy địa chỉ IP truy cập.

Chúng tôi có thể tiết lộ thông tin theo yêu cầu pháp lý hợp lệ từ cơ quan có thẩm quyền (toà án, công an) — trong trường hợp đó chúng tôi sẽ thông báo cho user nếu pháp luật cho phép.

5. Quyền của bạn

Theo Nghị định 13/2023/NĐ-CP, bạn có các quyền sau với dữ liệu cá nhân:

• Quyền được biết: xem những dữ liệu chúng tôi đang lưu về bạn — đăng nhập và xem profile, hoặc gửi email yêu cầu.
• Quyền điều chỉnh: cập nhật tên / mật khẩu qua admin UI hoặc qua flow Quên mật khẩu.
• Quyền xoá: gửi email tới hotro@datvangphuquoc.vn — chúng tôi xoá tài khoản và dữ liệu liên quan trong vòng 7 ngày làm việc.
• Quyền rút lại đồng ý: thu hồi quyền Google OAuth qua Google Account permissions; rút khỏi nhận email bằng cách xoá tài khoản.
• Quyền khiếu nại: liên hệ Cục An toàn thông tin (Bộ Thông tin và Truyền thông) nếu cho rằng quyền của bạn bị xâm phạm.

6. Trẻ em

Dịch vụ không dành cho người dưới 16 tuổi. Chúng tôi không cố ý thu thập thông tin từ trẻ em. Nếu phát hiện đã thu thập, chúng tôi sẽ xoá lập tức. Phụ huynh phát hiện trường hợp này vui lòng liên hệ hotro@datvangphuquoc.vn.

7. Thay đổi chính sách

Khi chính sách này thay đổi, chúng tôi sẽ cập nhật ngày “Cập nhật lần cuối” ở đầu trang. Nếu thay đổi ảnh hưởng đến quyền của bạn, chúng tôi sẽ gửi email thông báo trước ít nhất 7 ngày tới mọi tài khoản đã đăng ký.