Chính sách bảo mật
Cập nhật ngày 14/7/2026 · Tuân thủ Nghị định 13/2023/NĐ-CP & GDPR
1. Đơn vị thu thập dữ liệu
Maporder.vn là sản phẩm của Công ty TNHH MTV Umix (MST 0314570089). Mọi vấn đề về bảo mật dữ liệu vui lòng liên hệ:
- Email: info@maporder.vn
- Địa chỉ: 250C Chu Văn An, Phường Bình Thạnh, TP Hồ Chí Minh
- Hotline: 0987 148 726
2. Dữ liệu chúng tôi thu thập
2.1. Khách hàng cuối (đặt món / đặt lịch)
- Họ tên, số điện thoại, email (nếu cung cấp)
- Địa chỉ giao hàng (chỉ với đơn DELIVERY)
- Ghi chú đơn hàng, dị ứng, chế độ ăn (nếu khai báo)
- Lịch sử đặt chỗ / đặt món tại các quán bạn ghé
2.2. Chủ doanh nghiệp
- Email, mật khẩu (bcrypt 12 rounds, không thể giải mã)
- Thông tin doanh nghiệp: tên, MST, địa chỉ, ngành nghề
- Thông tin thanh toán (qua cổng OnePay — chúng tôi không lưu thẻ)
2.3. Tự động
- IP address (anonymized 24h), user-agent, log truy cập
- Cookie session NextAuth (HttpOnly, Secure, SameSite=Lax)
3. Mục đích sử dụng dữ liệu
- Xử lý đơn hàng + lịch hẹn — gửi xác nhận, nhắc nhở qua Zalo / Email
- Tích điểm loyalty + cá nhân hóa trải nghiệm
- Phân tích báo cáo doanh thu (ẩn danh) cho chủ doanh nghiệp
- Bảo mật + chống gian lận (rate limit, fraud detection)
- Cải thiện sản phẩm + hỗ trợ kỹ thuật
Chúng tôi KHÔNG dùng dữ liệu cho: bán cho bên thứ 3, gửi spam marketing, hồ sơ ngầm (shadow profiling), ML training xuyên qua doanh nghiệp khác.
4. Chia sẻ dữ liệu
Chúng tôi chỉ chia sẻ dữ liệu trong các trường hợp sau:
- Nhà hàng / cửa hàng nơi bạn đặt: để họ phục vụ bạn (tên, SĐT, đơn hàng)
- Đối tác xử lý thanh toán: SePay, VietQR, OnePay, Momo — chỉ thông tin cần thiết cho giao dịch
- Đối tác giao hàng: Grab, Ahamove — chỉ với đơn DELIVERY và chỉ thông tin liên hệ
- Cơ quan pháp luật: khi có yêu cầu chính thức bằng văn bản theo quy định pháp luật VN
5. Lưu trữ & xóa
- Dữ liệu lưu trên server đặt tại Việt Nam (TP.HCM), backup hàng ngày, mã hóa at-rest AES-256
- Thời gian lưu trữ: 3 năm kể từ giao dịch cuối cùng (theo quy định kế toán VN)
- Bạn có quyền yêu cầu xóa toàn bộ dữ liệu bằng cách email info@maporder.vn (tuân thủ Điều 17 GDPR + Điều 16 NĐ 13/2023)
- Sau khi xóa, audit log giữ 90 ngày để phòng chống gian lận, sau đó xóa hoàn toàn
6. Cookie & tracking
Chúng tôi dùng cookie cho 3 mục đích:
- Bắt buộc: session đăng nhập (NextAuth), giỏ hàng. Không thể tắt — nếu tắt sẽ không dùng được.
- Preferences: ngôn ngữ, theme, dismiss banner. Có thể xoá bất cứ lúc nào.
- Analytics (tùy chọn): Plausible (privacy-friendly, không tracking cá nhân). Bạn có thể từ chối qua banner cookie.
Chúng tôi KHÔNG dùng Google Analytics, Facebook Pixel, hoặc bất kỳ tracker cross-site nào.
7. Quyền của bạn (theo NĐ 13/2023 + GDPR)
- Quyền truy cập: Xem toàn bộ dữ liệu cá nhân tại /account (khách) hoặc /settings (chủ DN)
- Quyền sửa: Tự cập nhật trong trang Cài đặt
- Quyền xóa: Email info@maporder.vn, xử lý trong 30 ngày
- Quyền xuất dữ liệu (portability): Export CSV/JSON tại Cài đặt → Xuất dữ liệu
- Quyền phản đối: Tắt marketing trong /account → Tuỳ chọn
- Quyền khiếu nại: Gửi đến info@maporder.vn hoặc Bộ Công an (Cục An ninh mạng)
8. Biện pháp bảo mật
- Mật khẩu hash bằng bcrypt 12 rounds
- 2FA TOTP (Google Authenticator) cho tài khoản admin
- HTTPS bắt buộc với HSTS, TLS 1.3
- Rate limit chống brute-force + DDoS protection
- Audit log tất cả thao tác quan trọng (90 ngày)
- Penetration test định kỳ 6 tháng/lần
9. Trẻ em dưới 16 tuổi
MapOrder không thu thập dữ liệu của trẻ em dưới 16 tuổi. Nếu bạn phát hiện chúng tôi vô tình thu thập dữ liệu của trẻ em, vui lòng email info@maporder.vn để xoá ngay lập tức.
10. Thay đổi chính sách
Chính sách này có thể được cập nhật. Phiên bản mới sẽ được công bố tại trang này kèm ngày cập nhật. Thay đổi quan trọng sẽ được thông báo qua email + Zalo tối thiểu 30 ngày trước khi có hiệu lực.