Chính Sách Bảo Mật

CHÍNH SÁCH BẢO MẬT

Phiên bản: 31/05/2026 - v2.1

Áp dụng cho tất cả khách hàng sử dụng dịch vụ tại htn.cloud

Công ty TNHH Hỏa Tốc ("Hỏa Tốc") cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của khách hàng theo quy định tại Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 và Nghị định 356/2025/NĐ-CP, Luật Viễn thông số 24/2023/QH15, và các quy định pháp luật liên quan. Chính sách này mô tả cách chúng tôi thu thập, sử dụng, lưu trữ và bảo vệ thông tin của bạn.

1. Danh tính và thông tin liên hệ của Bên kiểm soát dữ liệu

2. Cơ sở pháp lý và mục đích xử lý dữ liệu

Hỏa Tốc thu thập và xử lý dữ liệu cá nhân trên các cơ sở pháp lý sau (theo Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15):

3. Dữ liệu cá nhân chúng tôi thu thập

3.1 Dữ liệu nhận dạng và xác minh (bắt buộc theo Luật Viễn thông)

• Họ và tên đầy đủ;
• Số Căn Cước (CCCD) và ngày cấp, nơi cấp;
• Ngày sinh và địa chỉ thường trú;
• Đối với doanh nghiệp: tên, mã số thuế, thông tin người đại diện hợp pháp.

3.2 Dữ liệu liên lạc

• Địa chỉ email;
• Số điện thoại liên lạc;
• Tài khoản Telegram (nếu đăng ký hỗ trợ qua Telegram).

3.3 Dữ liệu kỹ thuật và sử dụng

• Địa chỉ IP kết nối;
• Nhật ký truy cập hệ thống (access logs);
• Cấu hình dịch vụ và thông tin sử dụng tài nguyên;
• Cookies khi truy cập htn.cloud (xem mục 8).

3.4 Dữ liệu tài chính

• Lịch sử giao dịch và hóa đơn;
• Thông tin tài khoản ngân hàng dùng để chuyển khoản (chỉ lưu mức tối thiểu để đối soát).

3.5 Phân loại dữ liệu cá nhân cơ bản và nhạy cảm

Theo Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, dữ liệu cá nhân được phân thành dữ liệu cơ bản và dữ liệu nhạy cảm. Hỏa Tốc phân loại dữ liệu thu thập như sau:

Đối với dữ liệu cá nhân nhạy cảm, Hỏa Tốc áp dụng biện pháp bảo vệ ở mức cao hơn (mã hóa, phân quyền truy cập chặt chẽ, lưu ở mức tối thiểu cần thiết) và chỉ xử lý khi có cơ sở pháp lý hợp lệ hoặc sự đồng ý của khách hàng theo quy định pháp luật.

4. Quyền và nghĩa vụ lưu trữ thông tin viễn thông

Theo quy định tại Điều 15 và Điều 13 Luật Viễn thông 24/2023/QH15 và Điều 28 Nghị định 163/2024/NĐ-CP, Hỏa Tốc có nghĩa vụ pháp lý phải:

• Thu thập và lưu trữ thông tin xác minh danh tính khách hàng (thuê bao dịch vụ viễn thông) trước khi kích hoạt dịch vụ;
• Duy trì hồ sơ thông tin định danh thuê bao trong suốt thời gian sử dụng dịch vụ và sau khi hợp đồng chấm dứt theo thời hạn quy định của pháp luật về an ninh mạng;
• Cung cấp thông tin thuê bao cho cơ quan nhà nước có thẩm quyền khi có yêu cầu hợp pháp;
• Lưu trữ nhật ký hoạt động dịch vụ theo yêu cầu của Nghị định 147/2024/NĐ-CP và Luật An ninh mạng số 116/2025/QH15 (hiệu lực từ 01/07/2026).

Đây là nghĩa vụ pháp lý bắt buộc. Khách hàng không thể yêu cầu xóa các dữ liệu này trong thời hạn lưu trữ bắt buộc theo quy định pháp luật.

5. Thời gian lưu trữ dữ liệu

6. Chia sẻ dữ liệu với bên thứ ba

Hỏa Tốc không bán, cho thuê hoặc chia sẻ dữ liệu cá nhân của khách hàng cho bên thứ ba vì mục đích thương mại. Dữ liệu chỉ được chia sẻ trong các trường hợp sau:

• Yêu cầu hợp pháp từ cơ quan nhà nước có thẩm quyền (Công an, Viện kiểm sát, Tòa án, Bộ Khoa học và Công nghệ...);
• Nhà cung cấp dịch vụ hạ tầng (data center, kết nối Internet) theo hợp đồng bảo mật;
• Đơn vị kiểm toán và kế toán trong phạm vi nghĩa vụ pháp lý;
• Khi có sự đồng ý rõ ràng bằng văn bản của khách hàng.

7. Quyền của chủ thể dữ liệu

Theo Điều 4 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15, khách hàng (chủ thể dữ liệu) có các quyền sau:

• Quyền biết: Được thông tin về việc thu thập và xử lý dữ liệu cá nhân;
• Quyền truy cập: Yêu cầu cung cấp bản sao dữ liệu cá nhân đang được lưu trữ;
• Quyền chỉnh sửa: Yêu cầu chỉnh sửa dữ liệu không chính xác hoặc không đầy đủ;
• Quyền xóa: Yêu cầu xóa dữ liệu (trừ dữ liệu bắt buộc lưu trữ theo pháp luật viễn thông);
• Quyền hạn chế xử lý: Yêu cầu tạm dừng xử lý dữ liệu trong một số trường hợp;
• Quyền phản đối: Phản đối xử lý dữ liệu cho mục đích tiếp thị;
• Quyền chuyển dữ liệu: Nhận dữ liệu ở định dạng có thể đọc được để chuyển sang nhà cung cấp khác.

Để thực hiện các quyền trên, gửi yêu cầu qua email support@htn.cloud. Hỏa Tốc phản hồi trong thời hạn 02 ngày làm việc và thực hiện yêu cầu theo thời hạn quy định tại Điều 5 Nghị định 356/2025/NĐ-CP.

Hệ quả của việc rút lại đồng ý hoặc phản đối xử lý dữ liệu: Khách hàng có quyền rút lại sự đồng ý hoặc phản đối việc xử lý dữ liệu bất kỳ lúc nào đối với các hoạt động dựa trên cơ sở đồng ý. Tuy nhiên, do một số dữ liệu là bắt buộc để cung cấp và duy trì dịch vụ (ví dụ: thông tin định danh thuê bao, dữ liệu thanh toán), việc rút lại đồng ý hoặc phản đối xử lý có thể dẫn đến hệ quả: (i) Hỏa Tốc không thể kích hoạt hoặc tiếp tục cung cấp một phần hoặc toàn bộ dịch vụ; (ii) khách hàng không nhận được thông báo, tin tức dịch vụ hoặc chương trình khuyến mại; hoặc (iii) một số tính năng của dịch vụ bị hạn chế. Việc rút lại đồng ý không ảnh hưởng đến tính hợp pháp của hoạt động xử lý dữ liệu đã thực hiện trước thời điểm rút lại, và không áp dụng cho các dữ liệu mà Hỏa Tốc có nghĩa vụ pháp lý phải lưu trữ theo quy định tại mục 4 và mục 5.

8. Cookie và theo dõi trực tuyến

Website htn.cloud sử dụng cookie kỹ thuật cần thiết để đảm bảo hoạt động của website (không cần đồng ý), và cookie phân tích (cần đồng ý) để cải thiện trải nghiệm người dùng.

Khách hàng có thể kiểm soát cookie thông qua cài đặt trình duyệt hoặc từ chối cookie phân tích mà không ảnh hưởng đến việc sử dụng dịch vụ.

9. Bảo mật dữ liệu

Hỏa Tốc áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ dữ liệu cá nhân:

• Mã hóa dữ liệu khi truyền tải (TLS 1.2 trở lên) và khi lưu trữ (at-rest) đối với dữ liệu cá nhân trên hạ tầng điện toán đám mây, kèm phân quyền truy cập nghiêm ngặt theo Điều 12 Nghị định 356/2025/NĐ-CP;
• Kiểm soát truy cập theo nguyên tắc tối thiểu quyền hạn (least privilege);
• Kiểm tra bảo mật định kỳ và theo dõi nhật ký xâm nhập;
• Đào tạo nhân sự về bảo vệ dữ liệu cá nhân.

Trong trường hợp xảy ra vi phạm bảo mật dữ liệu ảnh hưởng đến quyền lợi của chủ thể dữ liệu, Hỏa Tốc sẽ thông báo cho khách hàng liên quan qua email trong vòng 72 giờ kể từ khi phát hiện, theo Điều 28 Nghị định 356/2025/NĐ-CP.

10. Chuyển dữ liệu ra nước ngoài

10.1 Hỏa Tốc không chủ động chuyển dữ liệu cá nhân của khách hàng ra ngoài lãnh thổ Việt Nam vì mục đích thương mại.

10.2 Trường hợp sử dụng dịch vụ hạ tầng quốc tế (ví dụ: CDN toàn cầu, dịch vụ backup offsite, dịch vụ giám sát hệ thống), một số dữ liệu kỹ thuật tối thiểu (access logs, metadata) có thể được xử lý trên máy chủ đặt ở nước ngoài. Hoạt động này được thực hiện trên cơ sở hợp đồng với các nhà cung cấp tuân thủ pháp luật bảo vệ dữ liệu quốc tế, phù hợp với Điều 17 Nghị định 356/2025/NĐ-CP và Điều 20 Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15 (chuyển dữ liệu cá nhân xuyên biên giới).

10.3 Khi cần thiết phải chuyển dữ liệu cá nhân nhạy cảm ra nước ngoài, Hỏa Tốc sẽ thông báo và xin ý kiến chấp thuận của khách hàng trước.

11. Xử lý dữ liệu cá nhân của trẻ em

11.1 Dịch vụ Hỏa Tốc không hướng đến người dùng dưới 16 tuổi. Hỏa Tốc không cố ý thu thập dữ liệu cá nhân của trẻ em.

11.2 Trường hợp phải xử lý dữ liệu cá nhân của trẻ em (dưới 16 tuổi) theo yêu cầu pháp lý, Hỏa Tốc tuân thủ đầy đủ quy định về xử lý dữ liệu cá nhân của trẻ em tại Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15: việc xử lý luôn được thực hiện theo nguyên tắc bảo vệ quyền lợi tốt nhất của trẻ em, và phải có sự đồng ý của cha, mẹ hoặc người giám hộ hợp pháp.

11.3 Khi phát hiện đã thu thập dữ liệu cá nhân của trẻ em mà không có sự đồng ý của người giám hộ, Hỏa Tốc sẽ xóa dữ liệu đó ngay khi có thể.

12. Hậu quả và rủi ro không mong muốn

Mặc dù áp dụng nhiều biện pháp bảo mật, Hỏa Tốc thừa nhận rằng không có hệ thống nào đảm bảo an toàn tuyệt đối. Các rủi ro có thể xảy ra bao gồm:

• Lỗi phần cứng hoặc phần mềm trong quá trình xử lý có thể gây mất một phần dữ liệu;
• Tấn công mạng từ bên ngoài (zero-day exploit, DDoS quy mô lớn) vượt quá khả năng kiểm soát;
• Khách hàng vô tình để lộ thông tin đăng nhập hoặc bị tấn công kỹ nghệ xã hội (social engineering);
• Thảm họa thiên nhiên hoặc sự kiện bất khả kháng tác động đến trung tâm dữ liệu.

Trong trường hợp xảy ra sự cố vi phạm dữ liệu có nguy cơ ảnh hưởng đến quyền lợi khách hàng: Hỏa Tốc sẽ thông báo cho khách hàng bị ảnh hưởng trong vòng 72 giờ qua email và báo cáo cơ quan có thẩm quyền theo Điều 28 Nghị định 356/2025/NĐ-CP.

13. Thông báo xử lý dữ liệu cá nhân theo Luật Bảo vệ dữ liệu cá nhân 91/2025/QH15

Chính sách này đồng thời là Thông báo xử lý dữ liệu cá nhân theo quy định của Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15. Bằng việc đăng ký và sử dụng dịch vụ tại htn.cloud, khách hàng xác nhận đã đọc, hiểu và đồng ý với toàn bộ nội dung Chính sách này. Hỏa Tốc không cần thực hiện thêm thủ tục thông báo riêng biệt để đảm bảo nghĩa vụ thông báo theo Luật Bảo vệ dữ liệu cá nhân số 91/2025/QH15.

14. Thay đổi chính sách

Chính sách Bảo mật có thể được cập nhật để phù hợp với quy định pháp luật mới hoặc thay đổi dịch vụ. Các thay đổi quan trọng sẽ được thông báo qua email và Telegram trước ít nhất 15 ngày có hiệu lực.