Chính sách bảo mật

1. Giới thiệu

Chính sách bảo mật này giải thích cách chúng tôi thu thập, sử dụng, lưu trữ và bảo vệ dữ liệu cá nhân của bạn khi bạn sử dụng website carptech.vn và các dịch vụ của chúng tôi.

Chính sách này được xây dựng tuân thủ các quy định pháp luật Việt Nam về dữ liệu và bảo vệ dữ liệu cá nhân, bao gồm:

• Luật Dữ liệu số 60/2024/QH15 (hiệu lực 01/07/2025)
• Luật Bảo vệ Dữ liệu Cá nhân số 91/2025/QH15 (hiệu lực 01/01/2026)
• Luật Trí tuệ Nhân tạo số 134/2025/QH15 (hiệu lực 01/03/2026, khi áp dụng)

Bên kiểm soát dữ liệu

Tên pháp nhân: CÔNG TY CỔ PHẦN CÔNG NGHỆ TITAN (TITAN TECHNOLOGY CORPORATION)

Tên thương mại: Carptech

Mã số thuế: 0312157567

Địa chỉ: 40 Lam Sơn, Phường 2, Quận Tân Bình, Thành phố Hồ Chí Minh, Việt Nam

Người đại diện: Nguyễn Tấn Thành

Điện thoại: (028) 3997 7233

Email bảo vệ dữ liệu: hello@carptech.vn

2. Thông tin chúng tôi thu thập

2.1. Thông tin bạn cung cấp trực tiếp

Form liên hệ (/contact)

• Họ tên, email, tên công ty (bắt buộc)
• Số điện thoại (tùy chọn)
• Nội dung tin nhắn và ngân sách dự kiến

Đăng ký newsletter

• Email (bắt buộc)

Đặt lịch tư vấn (/book)

• Họ tên, email (thu thập qua Cal.com — dịch vụ đặt lịch bên thứ ba)

Công cụ tương tác (Assessment, ROI Calculator, Career Roadmap, Data Stack Selector)

• Thông tin doanh nghiệp: ngành, quy mô, doanh thu (tùy công cụ)
• Câu trả lời đánh giá và lựa chọn kỹ thuật
• Email (bắt buộc), họ tên, tên công ty, số điện thoại (tùy chọn) — thu thập khi bạn muốn xem kết quả chi tiết hoặc tải PDF

Thông tin tuyển dụng (khi bạn ứng tuyển vào Carptech)

• Họ tên, email, số điện thoại (bắt buộc)
• LinkedIn, Portfolio/GitHub URL (tùy chọn)
• CV/Resume: file PDF, DOC, DOCX (tối đa 1MB, bắt buộc)
• Cover letter (tùy chọn)

CV có thể chứa dữ liệu nhạy cảm (ngày sinh, giới tính, quốc tịch). Chúng tôi chỉ xử lý trong phạm vi cần thiết cho tuyển dụng.

2.2. Thông tin thu thập tự động

Khi bạn truy cập website, chúng tôi chỉ thu thập dữ liệu phân tích khi bạn đồng ý qua consent banner. Nếu bạn đồng ý, PostHog Analytics thu thập:

• Địa chỉ IP (ẩn danh hóa), loại trình duyệt, hệ điều hành
• Trang đã xem, thời gian trên trang, scroll depth
• Nguồn truy cập (referrer URL, UTM parameters)
• Vị trí địa lý ước tính (cấp thành phố, từ IP)
• Tương tác với các phần tử (click, scroll)

Không thu thập: nội dung bạn nhập vào form, thông tin cá nhân (tên, email), hoạt động trên website khác.

Bạn có toàn quyền kiểm soát qua consent banner. Chọn "Từ chối" để tắt hoàn toàn thu thập dữ liệu phân tích.

2.3. Thông tin từ bên thứ ba

Chúng tôi có thể nhận thông tin từ Cal.com khi bạn đặt lịch tư vấn (họ tên, email, múi giờ), hoặc từ các nguồn công khai (ví dụ: LinkedIn cho mục đích B2B marketing).

3. Phân loại dữ liệu

Theo Luật Dữ liệu 60/2024 và Luật BVDLCN 91/2025, chúng tôi phân loại dữ liệu thu thập như sau:

Loại dữ liệu	Ví dụ	Phân loại theo luật
Dữ liệu cá nhân cơ bản	Họ tên, email, số điện thoại, tên công ty	Dữ liệu cá nhân (PDPL)
Dữ liệu nhạy cảm	Thông tin trong CV: ngày sinh, giới tính, sức khỏe (nếu ứng viên cung cấp)	Dữ liệu cá nhân nhạy cảm (PDPL)
Dữ liệu doanh nghiệp	Ngành, quy mô, doanh thu, stack công nghệ (từ tools)	Dữ liệu thông thường (Luật DL)
Dữ liệu kỹ thuật	IP (ẩn danh), trình duyệt, hệ điều hành, trang đã xem	Dữ liệu thông thường (Luật DL)

Chúng tôi không thu thập hoặc xử lý dữ liệu thuộc loại "quan trọng" hoặc "cốt lõi" theo Luật Dữ liệu 60/2024.

4. Mục đích sử dụng thông tin

Cung cấp dịch vụ: Phản hồi yêu cầu tư vấn, thực hiện hợp đồng, giao tiếp về dự án
Công cụ tương tác: Tạo kết quả đánh giá, báo cáo ROI, lộ trình nghề nghiệp, đề xuất tech stack — và gửi PDF kết quả cho bạn
Tuyển dụng: Đánh giá hồ sơ ứng tuyển, liên hệ phỏng vấn, lưu trữ hồ sơ ứng viên
Marketing: Gửi newsletter, thông tin dịch vụ, blog posts (chỉ khi bạn đăng ký)
Cải thiện website: Phân tích cách sử dụng website để cải thiện trải nghiệm (chỉ khi bạn đồng ý qua consent banner)
Tuân thủ pháp luật: Đáp ứng yêu cầu pháp lý và bảo vệ quyền lợi hợp pháp

Cam kết về CV và dữ liệu tuyển dụng

• CV chỉ được sử dụng cho mục đích tuyển dụng
• Chỉ HR team và hiring managers có quyền truy cập
• Chúng tôi không bao giờ bán, chia sẻ hoặc công khai CV cho bên thứ ba
• Bạn có thể yêu cầu xóa CV bất kỳ lúc nào

5. Cơ sở pháp lý để xử lý dữ liệu

Theo Luật BVDLCN 91/2025, chúng tôi xử lý dữ liệu cá nhân dựa trên các cơ sở pháp lý sau:

Sự đồng ý: Khi bạn chấp nhận consent banner (analytics), đăng ký newsletter, hoặc gửi form liên hệ
Thực hiện hợp đồng: Cần thiết để cung cấp dịch vụ bạn yêu cầu hoặc tạo kết quả từ công cụ tương tác
Lợi ích hợp pháp: Để vận hành, bảo mật và cải thiện dịch vụ
Nghĩa vụ pháp lý: Tuân thủ yêu cầu của pháp luật (kế toán, thuế, báo cáo)

6. Chia sẻ thông tin

Chúng tôi không bán hoặc cho thuê dữ liệu cá nhân. Chúng tôi chỉ chia sẻ thông tin với:

Nhà cung cấp dịch vụ: Các đối tác xử lý dữ liệu theo chỉ dẫn của chúng tôi (xem mục 8 — Chuyển giao dữ liệu quốc tế)
Cơ quan có thẩm quyền: Khi có yêu cầu pháp lý hoặc lệnh từ cơ quan nhà nước
Bảo vệ quyền lợi: Để bảo vệ quyền, tài sản hoặc an toàn của Carptech và khách hàng
Chuyển giao kinh doanh: Trong trường hợp sáp nhập, mua bán hoặc chuyển nhượng tài sản (sẽ thông báo trước cho bạn)

7. Bảo mật thông tin

Chúng tôi áp dụng các biện pháp bảo mật kỹ thuật và tổ chức để bảo vệ dữ liệu cá nhân:

• Mã hóa dữ liệu khi truyền tải (TLS/SSL) và lưu trữ
• HTTP Strict Transport Security (HSTS), X-Frame-Options, Content Security Policy
• Kiểm soát truy cập nghiêm ngặt (chỉ nhân viên cần thiết)
• Rate limiting trên tất cả API endpoints (chống spam và brute force)
• Input sanitization và honeypot fields (chống XSS và bot)
• Backup dữ liệu và rà soát bảo mật định kỳ

Tuy nhiên, không có phương pháp truyền tải qua Internet nào là 100% an toàn. Chúng tôi không thể đảm bảo tuyệt đối tính bảo mật.

8. Chuyển giao dữ liệu quốc tế

Theo Luật BVDLCN 91/2025, việc chuyển dữ liệu cá nhân ra nước ngoài phải đảm bảo mức bảo vệ tương đương. Dữ liệu của bạn có thể được xử lý bởi các nhà cung cấp sau:

Dịch vụ	Vị trí	Mục đích	Dữ liệu xử lý
Vercel	Hoa Kỳ	Hosting website	Dữ liệu kỹ thuật (request logs)
Supabase	Hoa Kỳ (AWS us-east-1)	Database cho công cụ tương tác	Kết quả đánh giá, thông tin liên hệ
PostHog	Hoa Kỳ	Phân tích website (chỉ khi bạn đồng ý)	Dữ liệu ẩn danh: trang xem, thiết bị, tương tác
Brevo	EU (Pháp)	Email và quản lý liên hệ	Email, họ tên, công ty, dữ liệu phân loại
Cal.com	Hoa Kỳ/EU	Đặt lịch tư vấn	Họ tên, email, lịch hẹn

Cơ sở pháp lý cho chuyển giao: Các nhà cung cấp trên đều tuân thủ tiêu chuẩn bảo mật quốc tế (SOC 2, ISO 27001, hoặc GDPR). Chúng tôi đã ký Data Processing Agreement (DPA) với từng nhà cung cấp, đảm bảo mức bảo vệ dữ liệu tương đương theo yêu cầu của Luật BVDLCN 91/2025. Khi có Nghị định hướng dẫn về Cross-border Transfer Impact Assessment (CTIA), chúng tôi sẽ thực hiện đánh giá bổ sung.

9. Lưu trữ dữ liệu

Chúng tôi chỉ lưu trữ dữ liệu cá nhân trong thời gian cần thiết:

• Thông tin khách hàng: Trong suốt thời gian hợp đồng + 5 năm (mục đích pháp lý và kế toán)
• Kết quả công cụ tương tác: Lưu trữ trong Supabase cho đến khi bạn yêu cầu xóa
• Dữ liệu marketing: Cho đến khi bạn unsubscribe hoặc yêu cầu xóa
• Website analytics: 12 tháng (PostHog)
• CV ứng tuyển (ứng viên không được tuyển): Tối đa 6 tháng, sau đó xóa hoặc anonymize
• CV ứng tuyển (ứng viên được tuyển): Chuyển sang hồ sơ nhân viên, lưu theo quy định lao động

10. Quyền của bạn

Theo Luật BVDLCN 91/2025, bạn có các quyền sau đối với dữ liệu cá nhân của mình:

Quyền được biết: Biết dữ liệu nào được thu thập, mục đích xử lý, và ai có quyền truy cập
Quyền truy cập: Yêu cầu bản sao dữ liệu cá nhân chúng tôi lưu trữ về bạn
Quyền sửa đổi: Yêu cầu chỉnh sửa thông tin không chính xác hoặc không đầy đủ
Quyền xóa: Yêu cầu xóa dữ liệu cá nhân (trừ trường hợp pháp luật yêu cầu lưu trữ)
Quyền hạn chế xử lý: Yêu cầu hạn chế cách chúng tôi sử dụng dữ liệu
Quyền di chuyển dữ liệu: Nhận dữ liệu ở định dạng có cấu trúc, thông dụng
Quyền phản đối: Phản đối việc xử lý dữ liệu cho mục đích marketing
Quyền rút lại sự đồng ý: Rút lại sự đồng ý bất kỳ lúc nào (không ảnh hưởng tính hợp pháp của việc xử lý trước đó)
Quyền khiếu nại: Khiếu nại lên cơ quan bảo vệ dữ liệu cá nhân (Bộ Công an) nếu cho rằng quyền của bạn bị vi phạm

Để thực hiện các quyền này, gửi email đến hello@carptech.vn với tiêu đề "Yêu cầu về dữ liệu cá nhân". Chúng tôi sẽ phản hồi trong vòng 15 ngày làm việc.

11. Thông báo vi phạm dữ liệu

Theo Luật BVDLCN 91/2025, trong trường hợp xảy ra vi phạm dữ liệu cá nhân (data breach), chúng tôi cam kết:

• Trong 72 giờ: Thông báo cho cơ quan bảo vệ dữ liệu cá nhân (Bộ Công an) về sự cố
• Không chậm trễ: Thông báo cho các chủ thể dữ liệu bị ảnh hưởng qua email, nêu rõ: bản chất vi phạm, dữ liệu bị ảnh hưởng, biện pháp đã và đang thực hiện, khuyến nghị cho chủ thể
• Ghi nhận và khắc phục: Lưu hồ sơ sự cố, phân tích nguyên nhân, cập nhật biện pháp bảo mật

12. Cookies và công nghệ theo dõi

Website sử dụng cookies và localStorage. Xem chi tiết tại Chính sách Cookie. Tóm tắt:

• Consent preferences: Luôn lưu (localStorage) — cần thiết để ghi nhớ lựa chọn
• PostHog Analytics: Chỉ khi bạn đồng ý (1 first-party cookie + localStorage)
• Marketing cookies: Không sử dụng

13. Email marketing

Chúng tôi sử dụng Brevo để gửi email marketing và newsletter.

• Chỉ gửi khi bạn đăng ký (newsletter, form liên hệ, hoặc qua công cụ tương tác)
• Hủy đăng ký (unsubscribe) bất kỳ lúc nào qua link ở cuối mỗi email
• Email có thể chứa tracking pixel để đo tỷ lệ mở — bạn có thể tắt trong email client
• Dữ liệu xử lý theo chính sách bảo mật Brevo

14. Quyền riêng tư của trẻ em

Dịch vụ của chúng tôi không dành cho người dưới 18 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân từ trẻ em. Nếu phát hiện dữ liệu trẻ em đã được thu thập, chúng tôi sẽ xóa ngay lập tức.

15. Thay đổi chính sách bảo mật

Chúng tôi có thể cập nhật chính sách này để phản ánh thay đổi trong thực tiễn hoặc quy định pháp luật. Thay đổi quan trọng sẽ được thông báo qua email (nếu bạn là subscriber) và cập nhật ngày "Cập nhật lần cuối" ở đầu trang.

16. Liên hệ

Nếu có câu hỏi về chính sách này hoặc cách chúng tôi xử lý dữ liệu cá nhân:

Email: hello@carptech.vn