Công ty TNHH Đầu Tư Công Nghệ Redsun

CHÍNH SÁCH BẢO MẬT VÀ XỬ LÝ DỮ LIỆU CÁ NHÂN (PRIVACY POLICY)

CÔNG TY TNHH ĐẦU TƯ CÔNG NGHỆ REDSUN
Phiên bản cập nhật ngày: 03/07/2026

Chính sách Bảo mật và Xử lý Dữ liệu Cá nhân này (sau đây gọi tắt là "Chính sách") mô tả cách thức Công ty TNHH Đầu Tư Công Nghệ Redsun thu thập, sử dụng, lưu trữ, xử lý và bảo vệ dữ liệu thông tin cá nhân. Văn bản này được thiết lập nhằm tuân thủ nghiêm ngặt Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (PDPD) của Chính phủ Việt Nam.

ĐIỀU 1: PHÂN ĐỊNH VAI TRÒ XỬ LÝ DỮ LIỆU CÁ NHÂN

Theo Nghị định 13/2023/NĐ-CP, vai trò pháp lý đối với các luồng dữ liệu trong hệ sinh thái Redsun được xác định rõ như sau:

  1. Redsun là Bên Kiểm soát kiêm Bên Xử lý dữ liệu cá nhân đối với: Toàn bộ thông tin cá nhân của bản thân Khách hàng (người đại diện, nhân sự liên hệ, thông tin tài khoản kế toán) đăng ký thiết lập dịch vụ trực tiếp với Redsun.

  2. Redsun là Bên Xử lý dữ liệu cá nhân đối với: Toàn bộ dữ liệu cá nhân của bên thứ ba (nhân viên của Khách hàng lưu trữ trên Redsun HRM; khách hàng của Khách hàng lưu trữ trên Redsun CRM, SIPOS.vn, Webino.vn hoặc trên hạ tầng Cloud Server/Hosting).

    • Trách nhiệm pháp lý: Khách hàng đóng vai trò là Bên Kiểm soát dữ liệu (Chủ quản dữ liệu) đối với nhóm dữ liệu này và cam kết trước pháp luật đã có đầy đủ sự đồng ý (Consent) hợp pháp của các chủ thể dữ liệu (người lao động, người mua hàng của mình) trước khi đưa dữ liệu đó lên hệ thống lưu trữ của Redsun. Redsun xử lý dữ liệu này thuần túy theo cấu hình hệ thống phần mềm và yêu cầu hỗ trợ kỹ thuật của Khách hàng, không tự ý khai thác vì mục đích khác.

ĐIỀU 2: LOẠI DỮ LIỆU CÁ NHÂN THU THẬP VÀ XỬ LÝ

Redsun chỉ thu thập và xử lý các loại dữ liệu cá nhân cơ bản liên quan trực tiếp đến việc cung cấp dịch vụ công nghệ thông tin, bao gồm:

  1. Dữ liệu hành chính và định danh: Họ, chữ đệm và tên khai sinh; Số điện thoại liên hệ; Địa chỉ email; Địa chỉ cư trú/địa chỉ giao nhận hóa đơn; Tên doanh nghiệp và chức vụ công tác.

  2. Dữ liệu giao dịch tài chính: Thông tin tài khoản ngân hàng, mã số thuế phục vụ cho mục đích đối soát thanh toán và xuất hóa đơn điện tử hợp pháp.

  3. Dữ liệu kỹ thuật và vận hành: Địa chỉ IP, nhật ký hệ thống (system logs), lịch sử thao tác phần mềm (audit trails), thông tin thiết bị và loại trình duyệt của người dùng khi truy cập vào hệ thống phần mềm của Redsun nhằm mục đích kiểm soát an ninh an toàn thông tin mạng.

ĐIỀU 3: MỤC ĐÍCH XỬ LÝ DỮ LIỆU CÁ NHÂN

Redsun xử lý dữ liệu cá nhân tuân thủ nguyên tắc minh bạch, tối thiểu và có mục đích rõ ràng bao gồm:

  • Kích hoạt, cấu hình hệ thống, bàn giao quyền quản trị các gói phần mềm (BOS, CRM, HRM, SIPOS, Webino) và hạ tầng số (Cloud Server, Hosting, Email, SSL, Tên miền).

  • Xác thực danh tính người dùng, xử lý các giao dịch thanh toán tài chính và phát hành hóa đơn điện tử theo quy định của Luật Quản lý thuế.

  • Cung cấp dịch vụ hỗ trợ kỹ thuật, vá lỗi bảo mật, nâng cấp tính năng hệ thống và tối ưu hóa trải nghiệm người dùng.

  • Thực hiện thủ tục khai báo thông tin sở hữu tên miền bắt buộc với Trung tâm Internet Việt Nam (VNNIC) và Tổ chức quản lý tên miền quốc tế (ICANN).

  • Phát hiện, ngăn chặn các hành vi gian lận danh tính, phá hoại an ninh mạng hoặc các hành vi vi phạm pháp luật khác quy định tại Điều 4 Phần I (TOS).

ĐIỀU 4: CÁCH THỨC THU THẬP VÀ THỜI GIAN LƯU TRỮ DỮ LIỆU

  1. Cách thức thu thập: Dữ liệu được thu thập trực tiếp thông qua biểu mẫu đăng ký điện tử trên website, nội dung hợp đồng kinh tế, hoặc được hệ thống tự động ghi nhận (đối với dữ liệu kỹ thuật hệ thống) trong quá trình người dùng thao tác.

  2. Thời gian lưu trữ:

    • Thông tin định danh tài khoản quản trị của Khách hàng được lưu trữ trong suốt thời gian sử dụng dịch vụ và tối thiểu 05 năm sau khi chấm dứt hợp đồng thương mại nhằm phục vụ công tác kiểm toán thuế và quản lý nhà nước.

    • Dữ liệu thứ cấp do Khách hàng nhập vào các phần mềm SaaS sẽ được lưu trữ và tự động xóa sạch sau 30-45 ngày kể từ ngày dịch vụ hết hạn theo quy định tại Khoản 2 Điều 8 Phần I (TOS).

ĐIỀU 5: BIỆN PHÁP KỸ THUẬT VÀ TỔ CHỨC BẢO VỆ DỮ LIỆU

Tuân thủ Chương III của Nghị định 13/2023/NĐ-CP, Redsun thiết lập hệ thống phòng vệ nhiều lớp để bảo vệ an toàn tuyệt đối cho dữ liệu cá nhân:

  1. Biện pháp kỹ thuật:

    • Toàn bộ dữ liệu truyền tải giữa thiết bị người dùng và máy chủ của Redsun được mã hóa bằng giao thức SSL/TLS (HTTPS).

    • Áp dụng cơ chế phân quyền truy cập nghiêm ngặt dựa trên vai trò (RBAC). Cơ sở dữ liệu của từng Khách hàng trên nền tảng SaaS được lưu trữ cô lập, biệt lập hóa hoàn toàn (Multi-tenancy isolation), ngăn chặn tuyệt đối hiện tượng rò rỉ hoặc truy cập chéo giữa các Khách hàng.

    • Triển khai hệ thống tường lửa (Firewall) lớp mạng và lớp ứng dụng (WAF) để ngăn chặn các cuộc tấn công mã độc hoặc truy cập trái phép từ internet.

  2. Biện pháp tổ chức:

    • Redsun thành lập Bộ phận Bảo vệ dữ liệu cá nhân chuyên trách để giám sát an toàn nội bộ.

    • 100% nhân sự kỹ thuật có quyền tiếp cận hạ tầng của Redsun đều phải ký kết Cam kết bảo mật thông tin (NDA) và chịu chế tài kỷ luật nghiêm khắc, thậm chí truy cứu trách nhiệm hình sự nếu có hành vi làm rò rỉ dữ liệu của Khách hàng.

ĐIỀU 6: CHUYỂN GIAO DỮ LIỆU CHO BÊN THỨ BA

Redsun cam kết KHÔNG bán, cho thuê, trao đổi hoặc tiết lộ thông tin dữ liệu cá nhân của Khách hàng cho bất kỳ tổ chức marketing, quảng cáo hay bên thứ ba nào khác khi chưa có sự đồng ý bằng văn bản của Khách hàng, ngoại trừ các trường hợp bắt buộc sau:

  1. Chuyển giao thông tin đăng ký (WHOIS) cho các cơ quan quản lý tên miền (VNNIC, ICANN) hoặc tổ chức cấp phát chứng chỉ bảo mật SSL toàn cầu để hoàn thành thủ tục đăng ký sở hữu hợp pháp theo yêu cầu của chính Khách hàng.

  2. Cung cấp dữ liệu theo yêu cầu bằng văn bản tố tụng hợp pháp của Cơ quan Công an, Viện Kiểm sát hoặc Tòa án nhân dân theo đúng trình tự pháp luật Việt Nam.

ĐIỀU 7: QUYỀN VÀ NGHĨA VỤ CỦA CHỦ THỂ DỮ LIỆU

Khách hàng và Người dùng cuối có đầy đủ 11 quyền đối với dữ liệu cá nhân của mình theo quy định tại Điều 9 Nghị định 13/2023/NĐ-CP (bao gồm Quyền được biết, Quyền đồng ý, Quyền truy cập, Quyền chỉnh sửa, Quyền xóa dữ liệu, Quyền rút lại sự đồng ý...).

  • Cách thức thực hiện quyền: Khách hàng có thể tự thực hiện quyền xem, chỉnh sửa thông tin thông qua trang quản trị tài khoản cá nhân. Đối với các yêu cầu phức tạp như xóa dữ liệu hoặc rút lại sự đồng ý xử lý dữ liệu, Khách hàng vui lòng gửi yêu cầu bằng văn bản có ký tên/đóng dấu hợp pháp từ Email quản trị đến đầu mối bộ phận bảo vệ dữ liệu cá nhân của Redsun. Redsun sẽ xác minh danh tính và phản hồi kết quả xử lý trong vòng 72 giờ làm việc.

ĐIỀU 8: QUY TRÌNH THÔNG BÁO VÀ XỬ LÝ SỰ CỐ RÒ RỈ DỮ LIỆU

  1. Trong trường hợp hệ thống của Redsun bị tấn công mạng dẫn đến nguy cơ dữ liệu cá nhân bị xâm phạm, rò rỉ hoặc mất mát, Đội phản ứng sự cố an ninh thông tin của Redsun sẽ lập tức cô lập vùng ảnh hưởng để ngăn chặn thiệt hại lan rộng.

  2. Trong vòng 72 giờ kể từ thời điểm phát hiện sự cố hành vi vi phạm quy định về bảo vệ dữ liệu cá nhân, Redsun sẽ thực hiện thủ tục lập báo cáo và thông báo vi phạm gửi về Bộ Công an (Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao - A05) theo đúng quy định tại Mẫu số 03 của Nghị định 13/2023/NĐ-CP, đồng thời gửi thông báo khẩn cấp đến Khách hàng bị ảnh hưởng qua hệ thống Email quản trị để cùng phối hợp giảm thiểu rủi ro.

ĐIỀU 9: THÔNG TIN LIÊN HỆ VÀ ĐIỀU KHOẢN THI HÀNH

Mọi thắc mắc, khiếu nại hoặc yêu cầu thực hiện quyền liên quan đến vấn đề Bảo mật thông tin và Xử lý dữ liệu cá nhân, Quý khách hàng vui lòng liên hệ trực tiếp với Bộ phận chuyên trách của Redsun:

CÔNG TY TNHH ĐẦU TƯ CÔNG NGHỆ REDSUN

  • Địa chỉ trụ sở: 159 Điện Biên Phủ, Phường Gia Định, TP. Hồ Chí Minh, Việt Nam

  • Điện thoại: 028 7301 5630

  • Email tiếp nhận xử lý dữ liệu: privacy@redsun.vn