Phần mềm MONA
Đăng ký

Challenge Elearning · Pháp lý

Chính sách bảo mật

Cập nhật lần cuối: 27/05/2026

Em viết chính sách này để anh chị biết rõ em xử lý dữ liệu cá nhân của anh chị thế nào. Em tuân thủ Nghị định 13/2023/NĐ-CP (PDPD) của Việt Nam.

1. Bên kiểm soát dữ liệu

Challenge Elearning, vận hành bởi đội ngũ Triết Phan × MONA. Liên hệ: privacy@khanhhung.academy.

2. Dữ liệu em thu thập

  • Định danh cơ bản: họ tên, email, số điện thoại, ngày sinh, địa chỉ, mã số thuế (nếu xuất hoá đơn).
  • Profile chuyên môn: ngành nghề, kinh nghiệm, sản phẩm đang xây, link social, ảnh đại diện, video giới thiệu — chỉ khi anh chị tự khai.
  • Định danh kênh ngoài: Telegram user ID, Zalo user ID (chỉ khi anh chị bấm connect).
  • Dữ liệu hành vi: bài nộp, lịch sử mua, lịch sử click short-link, thiết bị truy cập (IP đã hash, user agent), thời gian hoạt động.
  • Dữ liệu thanh toán: mã giao dịch ngân hàng, số tiền, ngân hàng nguồn. Em không lưu số thẻ, số CVV, mật khẩu internet banking.

3. Mục đích sử dụng

  • Vận hành dịch vụ: tạo enrollment, chấm bài, cộng credit, đối soát thanh toán, gửi nhắc nhở.
  • Hỗ trợ khách: trả lời email, xử lý khiếu nại, hoàn tiền.
  • Cá nhân hoá: suggest challenge phù hợp dựa trên profile và lịch sử (qua AI + vector search).
  • Marketing: gửi email newsletter, thông báo challenge mới — chỉ khi anh chị opt-in. Anh chị có thể opt-out bất kỳ lúc nào ở /settings.
  • Tuân thủ pháp luật: lưu hoá đơn, kế toán, xuất chứng từ khi cơ quan chức năng yêu cầu hợp lệ.

4. Cơ sở pháp lý

Em xử lý dữ liệu dựa trên: (a) sự đồng ý của anh chị khi đăng ký, (b) nghĩa vụ thực hiện hợp đồng dịch vụ, (c) tuân thủ pháp luật về thuế và kế toán, (d) lợi ích hợp pháp của em trong vận hành và phòng chống gian lận.

5. Bên thứ ba em chia sẻ dữ liệu

  • Hạ tầng kỹ thuật: Vercel (hosting), Neon hoặc Supabase (database PostgreSQL), Cloudflare R2 (file storage), Upstash (cache & cron) — tất cả đều ký hợp đồng xử lý dữ liệu.
  • AI / vector search: Anthropic (Claude) chấm bài, Voyage AI hoặc OpenAI để tạo embedding, Qdrant lưu vector. Em chỉ gửi phần dữ liệu cần thiết, không gửi mật khẩu hay thông tin thanh toán.
  • Email & notification: Resend (email transactional), Zalo OA, Telegram Bot API — chỉ khi anh chị opt-in kênh đó.
  • Thanh toán: hệ thống QR ngân hàng riêng đối soát qua webhook — em chỉ nhận thông tin chuyển khoản, không truy cập tài khoản của anh chị.
  • Cơ quan chức năng: khi có yêu cầu hợp lệ bằng văn bản.

6. Chuyển dữ liệu ra nước ngoài

Một số nhà cung cấp em dùng có hạ tầng đặt tại nước ngoài (Vercel, Anthropic, Voyage, Resend). Em đăng ký xử lý dữ liệu xuyên biên giới theo NĐ 13/2023 và chỉ chuyển phần dữ liệu cần thiết.

7. Thời gian lưu trữ

  • Tài khoản còn active: lưu xuyên suốt thời gian sử dụng.
  • Sau khi anh chị yêu cầu xoá: em xoá trong 30 ngày, trừ dữ liệu phải lưu theo luật thuế/kế toán (10 năm).
  • Tài khoản không hoạt động trên 24 tháng: em gửi cảnh báo, sau 30 ngày không phản hồi sẽ chuyển sang trạng thái dormant.

8. Quyền của anh chị

  • Truy cập, sao chép dữ liệu cá nhân.
  • Sửa, bổ sung dữ liệu sai/thiếu — anh chị tự làm ở `/profile`.
  • Yêu cầu xoá hoặc giới hạn xử lý — gửi mail privacy@khanhhung.academy.
  • Rút lại đồng ý xử lý dữ liệu bất kỳ lúc nào.
  • Khiếu nại lên cơ quan có thẩm quyền (Bộ Công an).

9. Bảo mật kỹ thuật

  • Mật khẩu mã hoá bằng bcrypt 12 rounds — em không bao giờ thấy mật khẩu gốc.
  • HTTPS bắt buộc trên toàn site.
  • IP được hash với salt trước khi lưu.
  • Quyền truy cập admin có audit log, chia tách theo role (ADMIN/SUPER_ADMIN).
  • Khi có sự cố rò rỉ dữ liệu nghiêm trọng, em thông báo cho anh chị và cơ quan chức năng trong vòng 72h theo NĐ 13.

10. Cookie và tracking

  • Cookie session để duy trì đăng nhập (httpOnly, secure trong môi trường production).
  • Cookie attribution `ref_attribution` lưu link affiliate đã click (TTL 30 ngày, httpOnly).
  • GA4 và Facebook Pixel tracking conversion — chỉ kích hoạt khi anh chị accept cookie banner (tính năng đang triển khai).

11. Trẻ vị thành niên

Dịch vụ không dành cho người dưới 18 tuổi. Nếu anh chị phát hiện một tài khoản trẻ vị thành niên, báo em em xoá ngay.

12. Thay đổi chính sách

Em có thể cập nhật chính sách khi sản phẩm thay đổi hoặc luật mới ban hành. Bản mới có hiệu lực sau 7 ngày từ ngày đăng. Em sẽ gửi email thông báo nếu thay đổi ảnh hưởng quyền lợi của anh chị.

Có thắc mắc, anh chị nhắn về support@khanhhung.academy — em trả lời trong vòng 24h ngày làm việc.