Chính sách quyền riêng tư

Khi bạn ủy quyền Zalo OA cho Mi9 SCRM, chúng tôi có thể truy cập các thông tin sau thông qua Zalo Open API:

• Thông tin OA: Tên, avatar, ID của Official Account.
• Danh sách người theo dõi (followers): Zalo User ID (dạng mã định danh ẩn danh của Zalo), tên hiển thị, avatar công khai.
• Lịch sử hội thoại: Tin nhắn trao đổi giữa OA và người dùng Zalo (chỉ các đoạn hội thoại liên quan đến OA bạn quản lý).
• Thông tin thẻ người theo dõi (tags): Nhãn phân loại người dùng do bạn tạo trên Zalo OA Manager.
• Thông tin đơn hàng từ Zalo Shop (nếu bật tích hợp): Mã đơn hàng, trạng thái, giá trị đơn hàng.

Lưu ý: Zalo User ID mà chúng tôi nhận là ID theo từng OA (app-scoped), không phải ID Zalo cá nhân thực tế của người dùng. Chúng tôi không thể dùng ID này để nhận dạng người dùng trên các ứng dụng khác.

Khi bạn ủy quyền Facebook Fanpage qua Facebook Graph API, chúng tôi yêu cầu các quyền (permissions) sau và thu thập dữ liệu tương ứng:

Lưu ý: Chúng tôi chỉ thu thập thông tin của người dùng cuối (khách hàng của Fanpage) khi họ chủ động nhắn tin hoặc điền vào form Lead Ads. Chúng tôi không thu thập dữ liệu hành vi duyệt web hay thông tin từ tài khoản Facebook cá nhân của admin.

Ngoài dữ liệu từ Zalo/Facebook, chúng tôi cũng thu thập thông tin bạn cung cấp trực tiếp khi đăng ký sử dụng Mi9 SCRM:

• Họ tên, địa chỉ email, số điện thoại của người dùng hệ thống.
• Tên doanh nghiệp, địa chỉ, lĩnh vực kinh doanh.
• Dữ liệu nhập tay: thông tin khách hàng, ghi chú, lịch sử giao dịch.

Chúng tôi sử dụng các đối tác hạ tầng đám mây (ví dụ: AWS, Google Cloud) để lưu trữ và xử lý dữ liệu. Các đối tác này bị ràng buộc bởi hợp đồng bảo mật dữ liệu nghiêm ngặt và không được phép sử dụng dữ liệu của bạn cho mục đích riêng của họ.

Chúng tôi có thể tiết lộ dữ liệu nếu được yêu cầu bởi cơ quan nhà nước có thẩm quyền theo quy định pháp luật Việt Nam hoặc lệnh của tòa án.

Trong trường hợp sáp nhập, mua lại hoặc bán tài sản, dữ liệu có thể được chuyển giao cho bên tiếp nhận. Chúng tôi sẽ thông báo cho bạn trước khi dữ liệu được chuyển giao và chịu sự điều chỉnh của chính sách khác.

Dữ liệu bạn lưu trữ trên Mi9 SCRM (hồ sơ khách hàng, ghi chú, tags nội bộ) không được gửi ngược lại về Meta hay Zalo, ngoại trừ các hành động do bạn chủ động thực hiện như gửi tin nhắn, trả lời bình luận.

• Dữ liệu tài khoản và cấu hình SCRM: lưu trữ trong suốt thời gian sử dụng dịch vụ và tối đa 90 ngày sau khi hủy tài khoản.
• Lịch sử hội thoại: lưu trữ tối đa 24 tháng kể từ ngày tạo, có thể mở rộng theo gói dịch vụ.
• Log hệ thống: lưu tối đa 12 tháng để đảm bảo an ninh và xử lý sự cố.
• Dữ liệu Lead Ads từ Facebook: lưu trữ theo thời hạn bạn thiết lập trong SCRM, tối đa 36 tháng.

• Mã hóa dữ liệu truyền tải: TLS 1.2+ cho tất cả kết nối API.
• Mã hóa dữ liệu lưu trữ: AES-256 cho dữ liệu nhạy cảm tại rest.
• Kiểm soát truy cập: phân quyền theo vai trò (RBAC), xác thực hai yếu tố (2FA).
• Giám sát bảo mật: hệ thống phát hiện xâm nhập và cảnh báo bất thường 24/7.
• Kiểm tra định kỳ: penetration testing và audit bảo mật ít nhất 2 lần/năm.
• Sao lưu dữ liệu: backup tự động hàng ngày với khả năng phục hồi trong vòng 4 giờ.

Dữ liệu được lưu trữ trên máy chủ đặt tại Việt Nam và/hoặc khu vực Singapore (AWS ap-southeast-1). Chúng tôi cam kết tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân của Việt Nam.

Bạn có thể hủy kết nối Zalo OA khỏi Mi9 SCRM bất kỳ lúc nào trong phần Cài đặt → Kết nối kênh → Zalo OA. Sau khi hủy kết nối:

• Mi9 SCRM không còn nhận dữ liệu mới từ Zalo OA.
• Dữ liệu hội thoại hiện có vẫn được giữ lại theo chính sách lưu trữ, trừ khi bạn yêu cầu xóa.
• Token ủy quyền Zalo bị thu hồi ngay lập tức.

Bạn có thể hủy kết nối trong phần Cài đặt → Kết nối kênh → Facebook hoặc trực tiếp tại trang Facebook Business Settings → Integrations → Apps. Sau khi hủy:

• Mi9 SCRM không còn nhận dữ liệu từ Fanpage.
• Quyền truy cập Graph API bị thu hồi trong vòng 24 giờ.
• Dữ liệu đã lưu vẫn được giữ theo chính sách lưu trữ.

Theo yêu cầu của Meta (Facebook) và Zalo, chúng tôi cung cấp cơ chế xóa dữ liệu theo hai cách:

* Một số dữ liệu có thể được giữ lại thêm nếu cần thiết để tuân thủ nghĩa vụ pháp lý (ví dụ: hóa đơn điện tử, log giao dịch theo luật kế toán).