★ PEKO LOYALTY CLUB ★ PEKO ★ REWARDS ★

    Pháp lý

    Chính sách Bảo mật

    Dành cho Merchant (Doanh nghiệp sử dụng Nền tảng)

    Phiên bản 1.0 · Hiệu lực 24/05/2024 · Cập nhật 02/01/2026 · Đơn vị vận hành: CÔNG TY TNHH LOOP TECHNOLOGIES · MST: 0318476619 · 363/4 Đinh Bộ Lĩnh, Phường Bình Thạnh, TP Hồ Chí Minh, Việt Nam · Người đại diện pháp luật: NGUYỄN ANH VIỆT (Giám Đốc).

    1. Giới thiệu

    PEKO ("chúng tôi", "Nền tảng") cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của bạn và của người dùng liên quan đến hoạt động sử dụng Dịch vụ. Chính sách này mô tả cách chúng tôi thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ thông tin khi Merchant sử dụng Nền tảng PEKO.

    Chính sách này tuân thủ Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân, Luật An ninh mạng 2018, Luật Giao dịch điện tử 2023 và các quy định pháp luật liên quan của Việt Nam.

    Lưu ý phạm vi: Chính sách này áp dụng cho Merchant. Nếu bạn là khách hàng cuối (consumer) của một Merchant, vui lòng xem Chính sách Bảo mật dành cho Khách hàng.

    2. Vai trò Xử lý Dữ liệu

    2.1. PEKO là Bên Kiểm soát Dữ liệu (Controller) đối với:

    • Tài khoản Merchant: họ tên, email, số điện thoại, mật khẩu, chức vụ của người đại diện và nhân viên Merchant.
    • Thông tin doanh nghiệp Merchant: tên, địa chỉ, MST, GPKD.
    • Dữ liệu sử dụng dashboard: log đăng nhập, thao tác trong hệ thống, IP, thiết bị, trình duyệt.
    • Dữ liệu thanh toán Gói Dịch vụ: hoá đơn, phương thức thanh toán (tokenized), trạng thái subscription.
    • Nhật ký bảo mật, audit log phục vụ an ninh hệ thống.
    • Dữ liệu phân tích nội bộ ẩn danh/tổng hợp để cải thiện sản phẩm.

    2.2. PEKO là Bên Xử lý Dữ liệu (Processor) thay cho Merchant đối với:

    • Dữ liệu member/loyalty do Merchant import hoặc thu thập qua các điểm chạm.
    • Dữ liệu đơn hàng do Khách hàng cuối đặt qua Web eShop, Mobile App, Zalo Mini.
    • Dữ liệu khảo sát, đánh giá, bình luận của Khách hàng cuối đối với Merchant.
    • Dữ liệu liên hệ khách hàng Merchant nhập thủ công hoặc import.
    • Ảnh hoá đơn (receipt) Khách hàng cuối tải lên để tích điểm.

    Phạm vi xử lý: chỉ để cung cấp Dịch vụ theo Điều khoản và hướng dẫn của Merchant. PEKO không sử dụng dữ liệu này cho mục đích riêng. Merchant có quy mô lớn có thể yêu cầu ký Phụ lục DPA riêng.

    2.3. Với tư cách Controller, Merchant phải: công bố chính sách bảo mật riêng cho Khách hàng cuối, thu thập sự đồng ý hợp lệ, bảo đảm cơ sở pháp lý cho dữ liệu đã có từ trước (ví dụ: import CSV), xử lý yêu cầu của chủ thể dữ liệu và hỗ trợ thông báo vi phạm dữ liệu khi cần.

    3. Thông tin chúng tôi thu thập

    3.1. Thông tin bạn cung cấp trực tiếp: thông tin tài khoản (họ tên, email, số điện thoại, mật khẩu đã mã hoá, chức vụ); thông tin doanh nghiệp (tên công ty, MST, địa chỉ trụ sở/chi nhánh, GPKD, logo, thông tin liên hệ); thông tin tài chính (phương thức thanh toán tokenized — không lưu số thẻ đầy đủ, lịch sử thanh toán Gói Dịch vụ, hoá đơn VAT); thông tin cấu hình (POS, menu, sản phẩm, chương trình loyalty, banner, thông báo); nội dung hỗ trợ (email, chat khi liên hệ hỗ trợ).

    3.2. Thông tin thu thập tự động: dữ liệu sử dụng (trang/tính năng truy cập, thời gian sử dụng, thao tác trong dashboard); thông tin thiết bị (loại trình duyệt, hệ điều hành, độ phân giải, ngôn ngữ); thông tin mạng (địa chỉ IP, nhà mạng, vị trí gần đúng cấp tỉnh/thành); cookie (xem Mục 9).

    3.3. Thông tin từ bên thứ ba: khi Merchant đăng nhập qua nhà cung cấp danh tính (OAuth) hoặc khi tra cứu thông tin công khai để xác minh doanh nghiệp (VD: tra cứu MST).

    4. Mục đích sử dụng

    1. Cung cấp, duy trì và vận hành Dịch vụ.
    2. Xác thực đăng nhập, quản lý phiên, kiểm soát truy cập.
    3. Xử lý thanh toán, gia hạn, quản lý Gói Dịch vụ.
    4. Gửi thông báo vận hành: bảo trì, cập nhật, cảnh báo bảo mật, nhắc thanh toán — không cần sự đồng ý marketing.
    5. Gửi thông tin sản phẩm mới, tin tức, khuyến mãi Gói — khi Merchant đã đồng ý.
    6. Hỗ trợ kỹ thuật và chăm sóc khách hàng.
    7. Phân tích ẩn danh/tổng hợp để cải thiện Dịch vụ.
    8. Phòng chống gian lận, lạm dụng, bảo đảm an ninh hệ thống.
    9. Tuân thủ nghĩa vụ pháp lý (kế toán, thuế, yêu cầu cơ quan nhà nước).
    10. Giải quyết tranh chấp và thực thi Điều khoản.

    5. Cơ sở pháp lý xử lý

    Theo Điều 17 Nghị định 13/2023/NĐ-CP:

    • Thực hiện hợp đồng: xử lý tài khoản, subscription, vận hành Dịch vụ — bắt buộc để cung cấp Dịch vụ.
    • Nghĩa vụ pháp lý: kế toán, thuế, lưu trữ hoá đơn.
    • Lợi ích hợp pháp: bảo mật hệ thống, chống gian lận, cải thiện sản phẩm.
    • Sự đồng ý: cho marketing và các hoạt động tuỳ chọn khác.

    6. Chia sẻ thông tin

    Chúng tôi không bán dữ liệu. Thông tin có thể được chia sẻ với:

    6.1. Nhà cung cấp dịch vụ (sub-processor): hạ tầng cloud, gửi email, SMS, ZNS, OCR hoá đơn, cổng thanh toán Gói Dịch vụ. Các nhà cung cấp này bị ràng buộc bởi hợp đồng bảo mật và chỉ xử lý dữ liệu theo hướng dẫn của PEKO. Danh sách cập nhật được công bố và Merchant được thông báo khi có thay đổi quan trọng.

    6.2. Đối tác tích hợp: cổng thanh toán Consumer (ZaloPay, VNPAY, MoMo, …) khi Merchant bật tính năng nhận thanh toán online; đối tác giao hàng (Ahamove, Grab, Lalamove, …) khi Merchant bật delivery; Zalo Mini App / Zalo OA khi Merchant bật tích hợp Zalo.

    6.3. Cơ quan nhà nước: khi có yêu cầu hợp pháp bằng văn bản từ cơ quan nhà nước có thẩm quyền theo quy định pháp luật Việt Nam.

    6.4. Tái cấu trúc doanh nghiệp: trong trường hợp sáp nhập, mua lại, chuyển nhượng tài sản — dữ liệu có thể được chuyển giao cho bên kế thừa với cùng nghĩa vụ bảo mật.

    7. Chuyển dữ liệu xuyên biên giới

    Một số nhà cung cấp dịch vụ có thể đặt máy chủ ở nước ngoài. Trong trường hợp này, chúng tôi: tuân thủ quy định về chuyển dữ liệu xuyên biên giới theo Nghị định 13/2023/NĐ-CP; áp dụng biện pháp kỹ thuật và hợp đồng (SCC, DPA) để bảo vệ dữ liệu; bảo đảm quốc gia nhận có mức bảo vệ phù hợp.

    8. Bảo mật Dữ liệu

    8.1. Biện pháp kỹ thuật: mã hoá truyền tải TLS cho mọi kết nối; mã hoá lưu trữ với dữ liệu nhạy cảm; kiểm soát truy cập theo nguyên tắc đặc quyền tối thiểu; xác thực đa yếu tố cho tài khoản quản trị; sao lưu định kỳ với khả năng phục hồi; giám sát bảo mật, ghi nhật ký, phát hiện xâm nhập, cảnh báo bất thường; vá lỗi bảo mật định kỳ.

    8.2. Biện pháp quản lý: quy trình xử lý sự cố bảo mật; đào tạo nhân viên; kiểm soát hợp đồng với nhà cung cấp; phân loại và xử lý thông tin theo mức độ nhạy cảm.

    8.3. Thông báo vi phạm dữ liệu: khi xảy ra sự cố vi phạm dữ liệu cá nhân, chúng tôi cam kết thông báo Merchant trong vòng 72 giờ kể từ khi phát hiện và phối hợp khắc phục.

    9. Cookie và Công nghệ Tương tự

    Dashboard PEKO sử dụng cookie cần thiết (duy trì phiên đăng nhập, bảo mật CSRF, ghi nhớ tuỳ chọn ngôn ngữ — không thể tắt) và cookie phân tích (đo lường sử dụng dashboard để cải thiện trải nghiệm — có thể tắt). Bạn có thể quản lý cookie qua cài đặt trình duyệt; tắt cookie cần thiết có thể ảnh hưởng đến khả năng sử dụng Dịch vụ.

    10. Thời hạn lưu trữ

    Dữ liệu được lưu trữ tối thiểu theo thời hạn pháp luật yêu cầu hoặc trong thời gian Dịch vụ còn hoạt động: dữ liệu hoá đơn/kế toán theo quy định pháp luật về thuế (tối thiểu 10 năm); dữ liệu tài khoản và cấu hình trong toàn bộ thời gian sử dụng Dịch vụ; nhật ký bảo mật/audit log theo chính sách lưu trữ nội bộ; sao lưu khôi phục sự cố theo chu kỳ ngày/tháng. Sau khi chấm dứt Dịch vụ, dữ liệu được xoá hoặc ẩn danh theo lịch trình đã công bố.

    11. Quyền của Merchant

    Theo Nghị định 13/2023/NĐ-CP, với tư cách chủ thể dữ liệu đối với thông tin cá nhân của mình:

    1. Quyền được biết về hoạt động xử lý dữ liệu của bạn.
    2. Quyền đồng ý hoặc không đồng ý cho phép xử lý.
    3. Quyền truy cập — xem và tải về dữ liệu cá nhân.
    4. Quyền rút lại sự đồng ý bất kỳ lúc nào.
    5. Quyền xoá dữ liệu (trừ các trường hợp pháp luật yêu cầu lưu giữ).
    6. Quyền hạn chế xử lý trong các trường hợp nhất định.
    7. Quyền cung cấp dữ liệu — yêu cầu cung cấp bản sao.
    8. Quyền phản đối xử lý (đặc biệt là marketing).
    9. Quyền khiếu nại, tố cáo với PEKO hoặc Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) — Bộ Công An.
    10. Quyền yêu cầu bồi thường thiệt hại khi có vi phạm.

    12. Rút lại sự đồng ý

    Bạn có thể rút lại sự đồng ý marketing bất kỳ lúc nào qua link huỷ đăng ký ở cuối email marketing, cài đặt "Thông báo" trong dashboard, hoặc email support@heypeko.com. Việc rút lại không ảnh hưởng đến thông báo vận hành bắt buộc (bảo trì, bảo mật, nhắc thanh toán).

    13. Bảo vệ Dữ liệu Trẻ em

    Dịch vụ dành cho doanh nghiệp và người đại diện có đầy đủ năng lực hành vi dân sự. Chúng tôi không cố ý thu thập dữ liệu cá nhân của người dưới 18 tuổi trong ngữ cảnh sử dụng dashboard merchant.

    14. Dữ liệu từ Receipt OCR

    Dịch vụ OCR hoá đơn có thể xử lý ảnh do Khách hàng cuối của Merchant tải lên. Các ảnh này có thể chứa thông tin cá nhân của bên thứ ba. PEKO chỉ xử lý ảnh để trích xuất các trường dữ liệu cần thiết theo yêu cầu của Merchant; không sử dụng ảnh/dữ liệu OCR để huấn luyện mô hình AI mà không có sự đồng ý rõ ràng của Merchant; ảnh gốc được xoá sau thời hạn quy định.

    15. Liên kết tới bên thứ ba

    Dashboard và các điểm chạm có thể chứa liên kết đến trang web/dịch vụ của bên thứ ba. Chính sách bảo mật của họ áp dụng riêng — chúng tôi khuyến nghị bạn xem xét trước khi cung cấp thông tin.

    16. Cập nhật và Thay đổi

    Chúng tôi có thể cập nhật Chính sách này. Mọi thay đổi quan trọng sẽ được thông báo qua email đến địa chỉ đăng ký, banner trên dashboard, hoặc thông báo in-app ít nhất 15 ngày trước khi có hiệu lực. Việc tiếp tục sử dụng Dịch vụ sau khi thay đổi có hiệu lực đồng nghĩa với việc chấp nhận Chính sách mới.

    17. Liên hệ

    Đơn vị vận hành: CÔNG TY TNHH LOOP TECHNOLOGIES — MST 0318476619 — 363/4 Đinh Bộ Lĩnh, Phường Bình Thạnh, TP Hồ Chí Minh, Việt Nam. Hỗ trợ chung: support@heypeko.com · Quyền dữ liệu cá nhân: support@heypeko.com · Hotline: 1900 633 470.