Trong quá trình cung cấp dịch vụ đồng bộ dữ liệu, GenNova Dev thu thập các loại thông tin sau:

a) Thông tin nhận dạng cá nhân

• Họ tên, địa chỉ email khi đăng ký tài khoản hoặc liên hệ tư vấn.
• Tên doanh nghiệp, mã số thuế, địa chỉ công ty khi đăng ký gói dịch vụ trả phí.
• Số điện thoại liên hệ (nếu khách hàng tự nguyện cung cấp).

b) Thông tin kỹ thuật và phiên làm việc

• Địa chỉ IP, loại trình duyệt, hệ điều hành và thời gian truy cập.
• Cookie phiên đăng nhập và token xác thực (JWT / session token).
• Nhật ký truy cập API (API access logs): thời gian gọi, endpoint, mã phản hồi — nhằm phục vụ debug và giám sát hiệu năng.

c) Dữ liệu tích hợp từ nền tảng bên thứ ba

• API credentials: Access token, API key, client secret của các nền tảng bạn cấp quyền (Haravan, Nhanh.vn, MISA AMIS, KiotViet, MeInvoice...). Các thông tin này được bảo vệ bằng kiểm soát truy cập nghiệp vụ, không hiển thị công khai và được truyền tải qua kênh mã hóa (HTTPS). Việc mã hóa tại tầng lưu trữ cơ sở dữ liệu (nếu có) phụ thuộc cấu hình triển khai và chính sách hạ tầng từng môi trường.
• Dữ liệu nghiệp vụ được đồng bộ (đơn hàng, sản phẩm, khách hàng, tồn kho, hoá đơn): chỉ lưu tạm trong bộ đệm xử lý và không lưu trữ lâu dài trên hệ thống GenNova Dev.

d) Thông tin thanh toán

• GenNova Dev không trực tiếp lưu trữ số thẻ, CVV hoặc dữ liệu thanh toán nhạy cảm. Thanh toán được xử lý qua cổng thanh toán bên thứ ba; nhà cung cấp cổng tuân thủ các tiêu chuẩn bảo mật thanh toán áp dụng (ví dụ chương trình PCI khi có).
• Chúng tôi chỉ lưu lại mã giao dịch, thời gian và số tiền để đối soát và phát hành biên lai.

Thông tin thu thập được sử dụng cho các mục đích sau, theo thứ tự ưu tiên pháp lý:

• Cung cấp và vận hành dịch vụ: Xác thực tài khoản, kết nối API, thực thi các luồng đồng bộ dữ liệu theo cấu hình của khách hàng.
• Hỗ trợ kỹ thuật và chăm sóc khách hàng: Phản hồi yêu cầu hỗ trợ, debug lỗi, gửi thông báo về trạng thái đồng bộ, cảnh báo sự cố qua email.
• Thanh toán và hoá đơn: Xử lý thanh toán định kỳ, xuất biên lai, nhắc gia hạn gói dịch vụ.
• Cải thiện sản phẩm: Phân tích nhật ký sử dụng (ở cấp độ tổng hợp, ẩn danh) để tối ưu hiệu năng hệ thống và phát triển tính năng mới.
• Bảo mật và phòng chống gian lận: Phát hiện truy cập bất thường, chặn tấn công brute-force, rate-limiting API.
• Tuân thủ pháp lý: Lưu trữ hồ sơ giao dịch theo quy định của pháp luật Việt Nam (tối thiểu 5 năm đối với hồ sơ tài chính).

GenNova Dev cam kết không sử dụng dữ liệu khách hàng cho mục đích quảng cáo của bên thứ ba, không bán dữ liệu và không phân tích dữ liệu nghiệp vụ của khách hàng ngoài phạm vi cung cấp dịch vụ đã thoả thuận.

GenNova Dev áp dụng các lớp bảo vệ kỹ thuật và quy trình vận hành để đảm bảo an toàn dữ liệu:

a) Mã hoá và truyền tải

• Dữ liệu truyền qua mạng công khai được bảo vệ bằng TLS (HTTPS) với các phiên bản hiện đại được hỗ trợ bởi trình duyệt và máy chủ.
• Thông tin nhạy cảm phục vụ đăng nhập và tích hợp được xử lý trong môi trường có kiểm soát truy cập theo tài khoản; hạn chế hiển thị và sao chép trái phép.
• Đăng nhập người dùng sử dụng mã OTP gửi qua email (không lưu “mật khẩu tĩnh” cổ điển trong mô hình mặc định). Mã có thời hạn và giới hạn số lần thử.

b) Kiểm soát truy cập

• Xác thực bằng OTP qua email cho phiên đăng nhập.
• Phân quyền theo nguyên tắc quyền tối thiểu (Principle of Least Privilege) — mỗi tài khoản chỉ có thể truy cập cơ sở dữ liệu API mà họ sở hữu.
• Token phiên có thời hạn, tự động hết hiệu lực sau thời gian không hoạt động.

c) Hạ tầng và giám sát

• Hệ thống triển khai trên hạ tầng đám mây với tường lửa (firewall) và nhóm bảo mật (security group) cấu hình chặt chẽ.
• Sao lưu cơ sở dữ liệu định kỳ (hàng ngày), lưu trữ tại vùng địa lý riêng biệt.
• Giám sát hệ thống 24/7, cảnh báo tự động khi phát hiện dấu hiệu bất thường.
• Nhật ký (logs) lưu trữ tối đa 90 ngày rồi tự động xoá.

d) Xử lý sự cố bảo mật

Trong trường hợp xảy ra sự cố vi phạm dữ liệu ảnh hưởng đến khách hàng, GenNova Dev cam kết thông báo cho khách hàng liên quan trong vòng 72 giờ kể từ khi phát hiện, kèm theo mô tả sự cố và các biện pháp khắc phục đã thực hiện.

Là nền tảng đồng bộ dữ liệu, GenNova Dev hoạt động như bên xử lý dữ liệu theo chỉ dẫn của khách hàng (tương đương Data Processor) giữa các hệ thống mà khách hàng sử dụng. Chúng tôi nhận thức rõ trách nhiệm này và cam kết:

• Phạm vi quyền truy cập tối thiểu: Ứng dụng chỉ yêu cầu quyền (scope) cần thiết tối thiểu từ các nền tảng bên thứ ba (Haravan, Nhanh.vn, MISA AMIS...). Ví dụ: chỉ yêu cầu quyền đọc/ghi đơn hàng, không yêu cầu quyền quản trị toàn bộ tài khoản.
• Dữ liệu nghiệp vụ không lưu trữ lâu dài: Đơn hàng, sản phẩm, tồn kho và thông tin khách hàng của doanh nghiệp bạn chỉ được xử lý trong bộ nhớ tạm (RAM/queue) trong quá trình đồng bộ, sau đó được xoá ngay. GenNova Dev không xây dựng kho dữ liệu từ thông tin nghiệp vụ của khách hàng.
• Nhật ký đồng bộ: Hệ thống lưu lại nhật ký tóm tắt (ID đơn hàng, trạng thái, thời gian) trong tối đa 90 ngày để phục vụ tra cứu, debug và xác nhận đồng bộ thành công. Sau thời gian này, nhật ký được xoá tự động.
• Cách ly dữ liệu theo tài khoản: Dữ liệu của mỗi tài khoản (mapping_id) được lưu trong schema riêng biệt, hoàn toàn cách ly về mặt logic và không thể truy cập chéo giữa các tài khoản.
• Thu hồi quyền truy cập: Khách hàng có thể thu hồi quyền truy cập API bất kỳ lúc nào từ phía nền tảng nguồn (Haravan, MISA...) hoặc xoá kết nối trực tiếp trên GenNova Dev. Sau khi thu hồi, hệ thống ngừng mọi hoạt động đồng bộ ngay lập tức.

Khi khách hàng sử dụng dịch vụ GenNova Dev, đồng nghĩa với việc khách hàng — với tư cách bên kiểm soát dữ liệu đối với dữ liệu do họ đưa vào luồng đồng bộ (tương đương Data Controller trong mối quan hệ đó) — uỷ quyền cho GenNova Dev xử lý dữ liệu nghiệp vụ theo phạm vi đã cấu hình trong hệ thống.

GenNova Dev không bán, không cho thuê và không chia sẻ dữ liệu cá nhân của khách hàng với bất kỳ bên thứ ba nào vì mục đích thương mại. Dữ liệu chỉ được chia sẻ trong các trường hợp sau:

• Nhà cung cấp dịch vụ kỹ thuật (Service Providers): Chúng tôi sử dụng một số dịch vụ hạ tầng đám mây (hosting, email delivery, giám sát hệ thống). Các nhà cung cấp này ký hợp đồng bảo mật dữ liệu và chỉ được phép xử lý dữ liệu theo hướng dẫn của GenNova Dev.
• Yêu cầu pháp lý bắt buộc: Khi có yêu cầu từ cơ quan nhà nước có thẩm quyền (toà án, cơ quan điều tra) theo đúng thủ tục pháp luật, GenNova Dev có nghĩa vụ cung cấp thông tin theo quy định.
• Bảo vệ quyền lợi hợp pháp: Trong trường hợp cần thiết để ngăn chặn gian lận, vi phạm Điều khoản dịch vụ hoặc bảo vệ sự an toàn của người dùng khác.
• Chuyển giao doanh nghiệp: Trong trường hợp sáp nhập, mua lại hoặc bán tài sản công ty, dữ liệu khách hàng có thể được chuyển giao sau khi thông báo trước và đảm bảo bên tiếp nhận tuân thủ chính sách bảo mật tương đương.

Với các nền tảng bên thứ ba mà khách hàng tích hợp (Haravan, Nhanh.vn, MISA, v.v.), việc truyền dữ liệu sang các nền tảng đó là theo yêu cầu và cấu hình trực tiếp của khách hàng — GenNova Dev đóng vai trò trung gian kỹ thuật, không phải bên chia sẻ dữ liệu độc lập.

Khách hàng có các quyền sau đây đối với dữ liệu cá nhân của mình, phù hợp với Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân của Việt Nam:

• Quyền truy cập: Yêu cầu xem thông tin cá nhân GenNova Dev đang lưu trữ về bạn.
• Quyền chỉnh sửa: Yêu cầu cập nhật hoặc sửa chữa thông tin cá nhân không chính xác.
• Quyền xoá ("quyền được lãng quên"): Yêu cầu xoá dữ liệu cá nhân, trừ trường hợp pháp luật yêu cầu lưu trữ (ví dụ: hồ sơ tài chính 5 năm).
• Quyền phản đối xử lý: Phản đối việc xử lý dữ liệu cho mục đích cụ thể (ví dụ: phân tích thống kê, email marketing).
• Quyền chuyển dữ liệu (Data Portability): Yêu cầu nhận bản sao dữ liệu cá nhân theo định dạng phổ biến (JSON/CSV) để chuyển sang nhà cung cấp khác.
• Quyền rút đồng ý: Rút lại sự đồng ý xử lý dữ liệu bất kỳ lúc nào (việc rút đồng ý không ảnh hưởng đến tính hợp pháp của việc xử lý dữ liệu trước đó).

Để thực hiện bất kỳ quyền nào ở trên, vui lòng gửi yêu cầu tới info@gennovadev.com với tiêu đề "[Yêu cầu quyền dữ liệu] — [Họ tên] — [Email tài khoản]". GenNova Dev sẽ xác nhận và xử lý trong vòng 15 ngày làm việc. Trong trường hợp phức tạp, thời gian có thể kéo dài tối đa 30 ngày và chúng tôi sẽ thông báo lý do.

Chúng tôi lưu trữ dữ liệu chỉ trong thời gian cần thiết cho mục đích đã nêu:

• Dữ liệu tài khoản (email, tên, thông tin doanh nghiệp): Trong suốt thời gian tài khoản còn hoạt động và tối đa 2 năm sau khi tài khoản bị xoá (để phục vụ giải quyết tranh chấp nếu có).
• API credentials (access token, API key): Trong suốt thời gian kết nối còn hiệu lực. Xoá ngay lập tức khi khách hàng huỷ kết nối.
• Nhật ký đồng bộ (sync logs): Tối đa 90 ngày kể từ ngày tạo, sau đó xoá tự động.
• Hồ sơ thanh toán và hoá đơn: 5 năm theo quy định pháp luật kế toán Việt Nam.
• Nhật ký truy cập hệ thống (access logs): Tối đa 30 ngày, phục vụ giám sát bảo mật.
• Dữ liệu đánh giá và phản hồi: Vô thời hạn (trừ khi khách hàng yêu cầu xoá), dùng để cải thiện dịch vụ.

Khi tài khoản bị xoá theo yêu cầu của khách hàng, GenNova Dev sẽ hoàn tất việc xoá dữ liệu cá nhân (trừ dữ liệu bắt buộc lưu trữ theo pháp luật) trong vòng 30 ngày kể từ ngày nhận yêu cầu.

GenNova Dev sử dụng các loại cookie sau:

• Cookie bắt buộc (Strictly Necessary): Cookie phiên đăng nhập (session cookie), CSRF token — thiết yếu để hệ thống hoạt động và đảm bảo bảo mật. Không thể tắt.
• Cookie chức năng (Functional): Lưu tuỳ chọn giao diện (theme, cỡ chữ), ngôn ngữ. Giúp cá nhân hoá trải nghiệm mà không cần đăng nhập lại.
• Cookie phân tích (Analytics): Thu thập dữ liệu sử dụng ở mức độ tổng hợp, ẩn danh để cải thiện sản phẩm. Không theo dõi cá nhân.

GenNova Dev hiện không sử dụng cookie quảng cáo (Advertising/Tracking cookies) của bên thứ ba như Google Ads, Facebook Pixel hay các mạng quảng cáo khác.

Quản lý cookie: Bạn có thể xoá hoặc chặn cookie từ cài đặt trình duyệt. Lưu ý rằng việc chặn cookie bắt buộc sẽ làm gián đoạn chức năng đăng nhập và bảo mật của tài khoản.

Khi sử dụng dịch vụ GenNova Dev, khách hàng đồng ý tuân thủ các điều kiện sau:

• Tài khoản và bảo mật: Khách hàng chịu trách nhiệm bảo mật hộp thư/email nhận OTP và phiên đăng nhập. Mỗi email chỉ được liên kết với một cơ sở dữ liệu kết nối API duy nhất. Nghiêm cấm chia sẻ tài khoản hoặc cho phép bên thứ ba không được uỷ quyền truy cập.
• Sử dụng hợp pháp: Dịch vụ chỉ được sử dụng cho mục đích hợp pháp. Nghiêm cấm sử dụng để thực hiện gian lận, xâm phạm quyền sở hữu trí tuệ, hay vi phạm Điều khoản sử dụng của các nền tảng bên thứ ba tích hợp.
• Trách nhiệm dữ liệu: Khách hàng là bên kiểm soát đối với dữ liệu nghiệp vụ do họ đưa vào luồng đồng bộ và chịu trách nhiệm về tính hợp pháp của việc xử lý dữ liệu đó, bao gồm đảm bảo có đủ cơ sở pháp lý đối với dữ liệu khách hàng cuối (nếu có).
• Gói dịch vụ và thanh toán: Phí dịch vụ thanh toán theo chu kỳ đã chọn (hàng tháng/hàng năm). Chậm thanh toán quá 7 ngày có thể dẫn đến tạm ngừng dịch vụ. GenNova Dev bảo lưu quyền điều chỉnh giá với thông báo trước 30 ngày.
• Tạm ngừng và chấm dứt: Chúng tôi có quyền tạm ngừng hoặc chấm dứt truy cập khi phát hiện vi phạm điều khoản, nợ phí kéo dài, yêu cầu cơ quan có thẩm quyền, hoặc để bảo trì/bảo vệ hệ thống. Dữ liệu sau chấm dứt được xử lý theo mục 8.
• Giới hạn trách nhiệm vận hành: GenNova Dev chịu trách nhiệm cung cấp nền tảng đồng bộ với nỗ lực thương mại hợp lý, nhưng không chịu trách nhiệm về sự cố phát sinh từ phía API hoặc chính sách của các nền tảng bên thứ ba (thay đổi API, downtime của Haravan, Nhanh.vn, MISA...). Mục tiêu vận hành hạ tầng do chúng tôi thông báo từng thời kỳ; sự cố ngoài tầm kiểm soát (bất khả kháng, lỗi mạng toàn cầu) được xử lý theo mục 11.

Cấp phép sử dụng. Trong phạm vi gói dịch vụ đã đăng ký và phí đã thanh toán (nếu có), GenNova Dev cấp cho khách hàng quyền sử dụng không độc quyền, không chuyển nhượng, có thể thu hồi, để truy cập và sử dụng phần mềm/dịch vụ theo giao diện được cung cấp. Khách hàng không được cấp phép lại, bán lại hoặc cho thuê lại dịch vụ nếu không có văn bản đồng ý riêng.

Hạn chế sử dụng. Khách hàng không được: (i) sử dụng dịch vụ cho mục đích vi phạm pháp luật; (ii) tìm cách truy cập trái phép, phá vỡ bảo mật, quá tải hoặc làm gián đoạn hệ thống; (iii) dịch ngược, biên dịch ngược hoặc tách rời phần mềm ngoài phạm vi luật áp dụng cho phép; (iv) gỡ bỏ hoặc làm sai lệch thông báo bản quyền/trademark.

Sở hữu trí tuệ. Giao diện, mã nguồn phía máy chủ, kiến trúc, nhãn hiệu và tài liệu của GenNova Dev thuộc quyền sở hữu của chúng tôi hoặc bên cấp phép. Dữ liệu do khách hàng đưa vào hệ thống (cấu hình, nội dung doanh nghiệp) thuộc khách hàng trong giới hạn pháp luật; GenNova Dev không đòi quyền sở hữu đối với dữ liệu đó.

Miễn trừ và giới hạn trách nhiệm. Trong giới hạn pháp luật cho phép, GenNova Dev không chịu trách nhiệm đối với các thiệt hại gián tiếp, mất lợi nhuận, mất dữ liệu ngoài phạm vi kiểm soát hợp lý của chúng tôi, hoặc sự kiện do bên thứ ba gây ra. Tổng trách nhiệm pháp lý tích lũy của GenNova Dev đối với một khách hàng cho mọi khiếu nại phát sinh từ hoặc liên quan đến dịch vụ (trong một năm dương lịch) không vượt quá tổng phí đăng ký dịch vụ mà khách hàng đã thực sự thanh toán cho GenNova Dev trong mười hai (12) tháng liền kề trước sự kiện gây khiếu nại (nếu khách hàng dùng gói miễn phí hoặc chưa phát sinh phí, giới hạn này được hiểu là mức tối thiểu theo quy định pháp luật bắt buộc áp dụng).

Bất khả kháng. Các sự kiện ngoài tầm kiểm soát hợp lý (thiên tai, chiến tranh, sự cố hạ tầng Internet/điện toán đám mây toàn cầu, hành động của cơ quan nhà nước) có thể làm gián đoạn dịch vụ; các bên được miễn trách nhiệm chậm trễ trong phạm vi và thời gian sự kiện còn tồn tại, với nỗ lực giảm thiểu ảnh hưởng.

Luật áp dụng và giải quyết tranh chấp. Các điều khoản này và quan hệ pháp lý giữa các bên chịu sự điều chỉnh của pháp luật Việt Nam. Tranh chấp phát sinh sẽ được ưu tiên giải quyết thương lượng; không đạt, giải quyết tại Tòa án nhân dân có thẩm quyền tại Hà Nội, Việt Nam, trừ khi pháp luật bắt buộc khác đi.

GenNova Dev có quyền cập nhật Chính sách Bảo mật này để phản ánh các thay đổi về thực tiễn hoạt động, yêu cầu pháp lý hoặc cải tiến sản phẩm.

• Thay đổi không đáng kể (ví dụ: làm rõ ngôn từ, thêm ví dụ minh hoạ): Có hiệu lực ngay sau khi đăng tải, có ghi chú ngày cập nhật ở đầu trang.
• Thay đổi đáng kể (ví dụ: thay đổi mục đích xử lý dữ liệu, thay đổi thời hạn lưu trữ, bổ sung loại dữ liệu thu thập): Thông báo tới email đã đăng ký ít nhất 30 ngày trước khi có hiệu lực. Khách hàng có quyền phản đối hoặc yêu cầu xoá tài khoản trong thời gian này.

Việc tiếp tục sử dụng dịch vụ sau ngày có hiệu lực được xem là đồng ý với chính sách mới. Các phiên bản chính sách trước đây được lưu trữ và có thể cung cấp theo yêu cầu.

Mọi thắc mắc, khiếu nại hoặc yêu cầu liên quan đến Chính sách Bảo mật và dữ liệu cá nhân, vui lòng liên hệ:

• Công ty: Công ty TNHH GenNova Dev
• Mã số thuế: 0111039570
• Địa chỉ: Tầng 4, tòa nhà số 12-16 phố Đốc Ngữ, Phường Vĩnh Phúc, Quận Ba Đình, Hà Nội, Việt Nam
• Email bảo mật: info@gennovadev.com
• Thời gian xử lý: Tối đa 15 ngày làm việc kể từ ngày nhận yêu cầu.

Nếu bạn cho rằng chúng tôi xử lý dữ liệu của bạn không đúng quy định và chưa được giải quyết thoả đáng, bạn có quyền khiếu nại lên Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao — A05) hoặc cơ quan có thẩm quyền theo quy định tại Nghị định 13/2023/NĐ-CP.