Chính sách Bảo mật

1. Tổng quan

Công ty Cổ phần Nexus Prime ("Nexus Prime", "chúng tôi") cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của bạn. Chính sách này mô tả cách chúng tôi thu thập, sử dụng và bảo vệ thông tin khi bạn truy cập website nexusprime.com hoặc sử dụng dịch vụ của chúng tôi.

Chính sách này được xây dựng tuân thủ:

• Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (có hiệu lực từ 01/07/2023)
• Nghị định 356/2025/NĐ-CP về thương mại điện tử và bảo vệ người tiêu dùng trực tuyến
• Luật An toàn thông tin mạng 2015 và Luật An ninh mạng 2018
• Quy định Bảo vệ Dữ liệu Chung (GDPR) EU 2016/679 — áp dụng cho người dùng tại Khu vực Kinh tế Châu Âu (EEA)

2. Bên kiểm soát dữ liệu

Công ty Cổ phần Nexus Prime là Bên kiểm soát dữ liệu cá nhân theo nghĩa của Nghị định 13/2023/NĐ-CP và GDPR.

• Tên đầy đủ: Công ty Cổ phần Nexus Prime
• Mã số thuế: 0111471519
• Địa chỉ: 34 Trịnh Đình Cửu, Phường Phương Liệt, Thành phố Hà Nội, Việt Nam
• Email: contact@nexusprime.vn
• Điện thoại: 0913 693 809

Mọi yêu cầu liên quan đến dữ liệu cá nhân xin gửi về địa chỉ email hoặc bưu điện trên với tiêu đề "Yêu cầu về Dữ liệu Cá nhân".

3. Dữ liệu chúng tôi thu thập

3.1 Dữ liệu bạn chủ động cung cấp

Khi điền form liên hệ hoặc yêu cầu tư vấn, chúng tôi thu thập:

• Họ và tên
• Địa chỉ email
• Số điện thoại (không bắt buộc)
• Tên công ty / tổ chức (không bắt buộc)
• Nội dung tin nhắn / yêu cầu

3.2 Dữ liệu thu thập tự động

Khi bạn truy cập website, hệ thống tự động ghi nhận:

• Địa chỉ IP (được ẩn danh hóa sau 30 ngày)
• Loại trình duyệt và hệ điều hành
• URL trang đã truy cập và thời gian lưu lại
• Nguồn truy cập (tìm kiếm, mạng xã hội, v.v.)
• Log server tiêu chuẩn

3.3 Dữ liệu từ cookies (chỉ khi có sự đồng ý)

Nếu bạn chấp nhận cookies phân tích hoặc marketing, chúng tôi có thể thu thập thêm thông tin hành vi qua Google Analytics và Facebook Pixel. Xem chi tiết tại Mục 9.

3.4 Dữ liệu trong quá trình cung cấp dịch vụ phần mềm

Khi Nexus Prime triển khai ERP Odoo, ManageEngine hoặc các giải pháp phần mềm khác cho doanh nghiệp của bạn, dữ liệu được xử lý trong khuôn khổ Hợp đồng Dịch vụ và Thỏa thuận Xử lý Dữ liệu (DPA) riêng biệt. Chính sách này không điều chỉnh dữ liệu đó.

4. Cơ sở pháp lý và mục đích xử lý

• Sự đồng ý (Consent — GDPR Art. 6(1)(a) / NĐ 13 Điều 11): Cookies phân tích và marketing — chỉ thu thập sau khi bạn bấm "Chấp nhận" trong banner cookie.
• Lợi ích hợp pháp (Legitimate Interest — GDPR Art. 6(1)(f)): Bảo mật website, phát hiện gian lận, phân tích log kỹ thuật, liên lạc phản hồi form liên hệ B2B.
• Thực hiện hợp đồng (GDPR Art. 6(1)(b)): Xử lý dữ liệu cần thiết để cung cấp dịch vụ phần mềm và tư vấn theo hợp đồng.
• Tuân thủ pháp luật (GDPR Art. 6(1)(c)): Lưu trữ hóa đơn, hợp đồng theo quy định thuế và kế toán Việt Nam.

5. Chia sẻ dữ liệu với bên thứ ba

Chúng tôi không bán dữ liệu cá nhân của bạn. Dữ liệu chỉ được chia sẻ với các bên sau theo mục đích cụ thể:

• Google LLC (Google Analytics 4) — phân tích lưu lượng website ẩn danh. Chính sách Google
• Meta Platforms, Inc. (Facebook Pixel) — đo lường quảng cáo (chỉ khi có sự đồng ý marketing). Chính sách Meta
• Nhà cung cấp hosting — máy chủ đặt tại Việt Nam, ràng buộc bởi các nghĩa vụ bảo mật tương đương.
• Zoho Corporation / ManageEngine — đối tác phân phối phần mềm, xử lý dữ liệu theo chính sách của họ trong phạm vi license.
• Cơ quan nhà nước có thẩm quyền — khi có yêu cầu hợp pháp theo pháp luật Việt Nam.

6. Chuyển dữ liệu quốc tế

Một số đối tác bên thứ ba (Google, Meta) có thể xử lý dữ liệu tại các máy chủ bên ngoài Việt Nam và Liên minh Châu Âu. Đối với người dùng trong EEA:

• Google LLC tham gia EU-U.S. Data Privacy Framework và áp dụng Điều khoản Xử lý Dữ liệu chuẩn (SCCs).
• Meta Platforms áp dụng SCCs cho việc chuyển dữ liệu từ EEA sang Hoa Kỳ.

Việc chuyển dữ liệu ra ngoài lãnh thổ Việt Nam tuân thủ Điều 25, Nghị định 13/2023/NĐ-CP.

7. Thời hạn lưu trữ

• Dữ liệu form liên hệ: 24 tháng kể từ lần liên lạc cuối, hoặc cho đến khi bạn yêu cầu xóa.
• Log máy chủ: 12 tháng (mục đích bảo mật và xử lý sự cố).
• Hợp đồng và hóa đơn: 10 năm theo Luật Kế toán Việt Nam.
• Dữ liệu Analytics: 14 tháng theo cấu hình GA4 mặc định.
• Cookies: Xem chi tiết thời hạn từng loại tại Mục 9.

8. Quyền của chủ thể dữ liệu

Theo Nghị định 13/2023/NĐ-CP (Điều 9) và GDPR (Điều 15–22), bạn có các quyền sau:

• Quyền được biết (Right to be informed): Nhận thông tin rõ ràng về cách dữ liệu của bạn được xử lý.
• Quyền truy cập (Right of access): Yêu cầu bản sao dữ liệu cá nhân chúng tôi đang lưu giữ về bạn.
• Quyền chỉnh sửa (Right to rectification): Yêu cầu sửa dữ liệu không chính xác hoặc bổ sung dữ liệu còn thiếu.
• Quyền xóa dữ liệu (Right to erasure — "Right to be forgotten"): Yêu cầu xóa dữ liệu trong phạm vi không có căn cứ pháp lý khác để lưu giữ.
• Quyền hạn chế xử lý (Right to restrict processing): Yêu cầu tạm ngừng xử lý trong khi tranh chấp về tính chính xác.
• Quyền di chuyển dữ liệu (Right to data portability): Nhận dữ liệu ở định dạng có cấu trúc, có thể đọc được bằng máy (CSV/JSON).
• Quyền phản đối (Right to object): Phản đối việc xử lý dựa trên lợi ích hợp pháp hoặc mục đích marketing trực tiếp.
• Quyền rút lại đồng ý (Right to withdraw consent): Rút lại đồng ý cookies bất kỳ lúc nào qua banner cookie.
• Quyền khiếu nại: Khiếu nại tới Cục An toàn thông tin, Bộ Thông tin và Truyền thông (Việt Nam) hoặc Cơ quan Bảo vệ Dữ liệu tại quốc gia EU của bạn.

9. Cookies và công nghệ theo dõi

Chúng tôi sử dụng ba loại cookies:

Cookies cần thiết (luôn bật)

• wordpress_*, wp-settings-* — phiên WordPress, thời hạn: phiên trình duyệt
• nxp_consent — lưu lựa chọn cookie của bạn, thời hạn: 12 tháng

Cookies phân tích (chỉ khi đồng ý)

• _ga, _ga_* — Google Analytics 4, nhận dạng phiên ẩn danh, thời hạn: 2 năm / 24 giờ

GA4 được cấu hình với anonymize_ip: true — địa chỉ IP bị ẩn danh hóa trước khi lưu trữ.

Cookies marketing (chỉ khi đồng ý)

• _fbp — Facebook Pixel, nhận dạng trình duyệt cho quảng cáo, thời hạn: 90 ngày

Bạn có thể thay đổi tùy chọn cookies bất kỳ lúc nào bằng cách xóa nxp_consent khỏi localStorage của trình duyệt, sau đó tải lại trang để hiển thị lại banner.

10. Bảo mật dữ liệu

Chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân, bao gồm:

• Truyền tải qua giao thức HTTPS/TLS 1.3
• Mã hóa mật khẩu một chiều (bcrypt)
• Giới hạn quyền truy cập nội bộ theo nguyên tắc tối thiểu đặc quyền (least privilege)
• Cập nhật bảo mật định kỳ cho hệ thống WordPress và plugin
• Sao lưu mã hóa tự động hàng ngày

Tuy nhiên, không có hệ thống nào hoàn toàn an toàn. Trong trường hợp xảy ra sự cố vi phạm dữ liệu ảnh hưởng đến quyền và lợi ích của bạn, chúng tôi sẽ thông báo theo quy định của Nghị định 13/2023/NĐ-CP và GDPR.

11. Trẻ em dưới 16 tuổi

Dịch vụ của Nexus Prime hướng đến đối tượng doanh nghiệp (B2B) và không dành cho cá nhân dưới 16 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân của trẻ em. Nếu bạn biết rằng một trẻ em đã cung cấp thông tin cho chúng tôi, vui lòng liên hệ để chúng tôi xóa thông tin đó.

12. Cập nhật chính sách

Chúng tôi có thể cập nhật chính sách này khi pháp luật thay đổi hoặc khi chúng tôi thay đổi cách xử lý dữ liệu. Ngày "Cập nhật lần cuối" ở đầu trang sẽ được thay đổi. Đối với những thay đổi quan trọng, chúng tôi sẽ thông báo qua email (nếu bạn đã cung cấp) hoặc thông báo nổi bật trên website.

13. Liên hệ về dữ liệu

Mọi câu hỏi, yêu cầu hoặc khiếu nại liên quan đến dữ liệu cá nhân:

• Email: contact@nexusprime.vn — tiêu đề: "Yêu cầu Dữ liệu Cá nhân"
• Bưu điện: Công ty Cổ phần Nexus Prime, 34 Trịnh Đình Cửu, Phương Liệt, Hà Nội
• Điện thoại: 0913 693 809

Nếu bạn là người dùng tại EU và không hài lòng với phản hồi của chúng tôi, bạn có quyền khiếu nại tới Cơ quan Bảo vệ Dữ liệu (DPA) tại quốc gia thành viên EU của bạn.