Chính sách bảo mật
Cập nhật lần cuối: 2026-04-24 · Có hiệu lực: 2026-07-15
Lenbai cam kết bảo vệ dữ liệu cá nhân của Người dùng theo Nghị định 13/2023/NĐ-CP(Bảo vệ dữ liệu cá nhân) và tinh thần GDPR EU.
1. Dữ liệu thu thập
1.1. Do Người dùng cung cấp
- Đăng ký: email, mật khẩu (hash bcrypt, không lưu plaintext), tên hiển thị, mã giới thiệu (nếu có).
- Sản phẩm: ảnh upload, tên, mô tả, giá, category.
- Channel connection: OAuth token Shopee/Facebook/Zalo (mã hóa AES-256-GCM tại rest).
- Thanh toán: giao dịch ID, số tiền, thời gian. Không lưu số thẻ — xử lý trực tiếp qua VNPay / Stripe.
- Team: email mời, role, trạng thái lời mời.
1.2. Tự động thu thập
- Log truy cập: IP (hash SHA-256 cho waitlist, plaintext cho session), user-agent, URL, timestamp. Giữ 90 ngày phục vụ audit + chặn abuse.
- Cookies: session cookie httpOnly
sp_refresh(30 ngày), localStoragelenbai-auth(access token + user profile). - Analytics: Vercel Analytics (anonymized) — page view, Core Web Vitals. Không track cross-site.
- Error monitoring: Sentry — stack trace, URL. PII như email/name/password bị redact trong
beforeSendhook.
2. Mục đích sử dụng
- Cung cấp Dịch vụ Lenbai (gen nội dung AI, publish đa kênh).
- Gửi email giao dịch: welcome, receipt top-up, waitlist drip, team invite.
- Hỗ trợ khách hàng — chỉ nhân viên support có quyền xem.
- Audit gian lận (multi-account farming, credit theft).
- Nghiên cứu & cải thiện AI — chỉ dùng metadata aggregated, không dùng ảnh/text user.
3. Dữ liệu có bị dùng train AI không?
KHÔNG. Lenbai dùng API Anthropic Claude + OpenAI GPT qua tài khoản enterprise — các bên cung cấp AI cam kết không train model trên data user. Ảnh Người dùng upload lưu trên Cloudflare R2 bucket riêng biệt, chỉ cho phép user + team member xem.
4. Chia sẻ với bên thứ 3
| Bên thứ 3 | Dữ liệu chia sẻ | Mục đích |
|---|---|---|
| Anthropic (Claude) | Prompt + ảnh upload | Gen nội dung AI |
| OpenAI (GPT + DALL·E) | Prompt text | Polish / gen ảnh AI |
| Google (Gemini) | Prompt text | Alternative AI provider |
| Shopee / Facebook / Zalo | OAuth token + nội dung publish | Đăng bài lên channel |
| Resend | Email address + subject + body | Gửi transactional email |
| VNPay / Stripe | Số tiền + transaction ID | Xử lý thanh toán |
| Cloudflare R2 | Ảnh binary | Lưu trữ ảnh |
| Supabase (PostgreSQL) | Toàn bộ relational data | Database quản lý |
| Upstash (Redis) | Session cache + queue state | Performance + background jobs |
| Sentry | Error stack trace | Bug monitoring (PII redacted) |
Lenbai KHÔNG BÁN data cho advertiser hay bên thứ 3 không phục vụ vận hành.
5. Bảo mật kỹ thuật
- Transport: TLS 1.3 bắt buộc. HTTP redirect 301 → HTTPS.
- At-rest: OAuth token mã hóa AES-256-GCM. Password hash bcrypt cost 12.
- JWT: access token 15 phút (HS256), refresh token 30 ngày (httpOnly cookie, rotation).
- Rate limit: 120 req/min/IP global, 5 req/min/IP cho auth endpoint.
- Backup: Supabase snapshot daily, retention 30 ngày.
- Security headers: helmet (CSP, X-Frame-Options DENY, HSTS, Referrer-Policy strict-origin).
6. Quyền của Người dùng (theo Nghị định 13/2023)
- Quyền được biết: file Chính sách này + email notification khi có thay đổi.
- Quyền đồng ý / rút đồng ý: không mở tài khoản nếu không đồng ý. Rút đồng ý = xóa tài khoản.
- Quyền truy cập: tải toàn bộ dữ liệu của mình qua
/dashboard/settings/export-data(roadmap V2.2). - Quyền chỉnh sửa: update profile bất cứ lúc nào.
- Quyền xóa (“right to be forgotten”): email privacy@lenbai.vn — xử lý trong 30 ngày.
- Quyền phản đối xử lý: opt-out khỏi marketing email (unsubscribe link cuối email).
7. Thời gian lưu trữ
| Loại dữ liệu | Thời gian lưu |
|---|---|
| Tài khoản active | Đến khi user xóa |
| Tài khoản đã xóa — metadata audit | 30 ngày sau xóa |
| Ảnh sản phẩm | Theo tài khoản, xóa khi user xóa sản phẩm |
| Giao dịch thanh toán | 10 năm (theo Luật Kế toán VN) |
| Log truy cập | 90 ngày |
| Waitlist | Đến khi beta mở hoặc user unsubscribe |
| Sentry error log | 30 ngày |
8. Cookies
- Essential (không tắt được):
sp_refreshauth,lenbai-authlocalStorage. - Analytics (opt-out được): Vercel Analytics — anonymized. Roadmap: cookie banner cho EU user.
9. Dữ liệu trẻ em
Lenbai không dành cho người dưới 18 tuổi. Nếu phát hiện tài khoản của trẻ em, sẽ xóa ngay và thông báo người giám hộ (nếu có thông tin liên hệ).
10. Chuyển dữ liệu quốc tế
Một số provider (Anthropic, OpenAI, Stripe, Cloudflare) xử lý data ngoài VN (US/EU). Lenbai chọn provider có chứng nhận SOC 2 / ISO 27001 để đảm bảo mức bảo vệ tương đương Nghị định 13/2023.
11. Vi phạm dữ liệu (Data Breach)
Nếu xảy ra rò rỉ dữ liệu ảnh hưởng Người dùng, Lenbai sẽ:
- Thông báo trong vòng 72 giờ phát hiện (email + banner in-app).
- Báo cáo Cục An toàn Thông tin (Bộ TT&TT) trong 7 ngày.
- Force password reset cho user bị ảnh hưởng.
- Public post-mortem sau khi khắc phục xong.
12. Liên hệ DPO (Data Protection Officer)
- Email: privacy@lenbai.vn
- Response SLA: 7 ngày làm việc (khẩn) / 30 ngày (non-urgent)
Phiên bản 1.0 · 2026-04-24. Tuân thủ Nghị định 13/2023/NĐ-CP và tinh thần GDPR EU.