Chính sách quyền riêng tư

1. Dữ liệu chúng tôi thu thập

1.1. Dữ liệu bạn cung cấp khi đăng ký

• Họ và tên
• Email liên hệ + mật khẩu (chỉ lưu hash Argon2id, không lưu mật khẩu thô)
• Tên doanh nghiệp, mã số thuế (nếu cần xuất hóa đơn VAT)
• Số điện thoại (tùy chọn, để nhận SMS/Zalo nhắc gia hạn)
• Tên miền sẽ sử dụng cho hộp thư

1.2. Dữ liệu phát sinh khi sử dụng dịch vụ

• Nội dung thư (tiêu đề, body, đính kèm, nhãn) — được lưu trữ mã hóa khi nghỉ.
• Metadata gửi/nhận: thời gian, người gửi/nhận, kích thước.
• Log truy cập kỹ thuật: IP đăng nhập, User-Agent, thời gian — giữ 90 ngày phục vụ điều tra sự cố.
• Log mail server (Postfix, Dovecot, Rspamd) — giữ 30 ngày local + 90 ngày backup mã hóa.

2. Mục đích sử dụng

• Cung cấp và vận hành dịch vụ email theo tên miền của bạn.
• Lọc spam, malware, phishing tự động (qua Rspamd nội bộ — không có bên thứ ba thấy nội dung thư).
• Xuất biên nhận thanh toán và quản lý gói dịch vụ.
• Gửi thông báo vận hành (gia hạn, sự cố, cập nhật) qua email/SMS/Zalo.
• Cải thiện chất lượng dịch vụ qua thống kê tổng hợp ẩn danh (không truy ngược được cá nhân).

3. Vị trí lưu trữ dữ liệu

Toàn bộ nội dung thư, metadata và sao lưu chính được lưu trữ tại Việt Nam — server đặt tại trung tâm dữ liệu FPT. Sao lưu phụ (đề phòng thảm họa) được lưu mã hóa ngoài Việt Nam tại Backblaze B2 (Mỹ) với khóa Age riêng do vne.email quản lý.

Bố trí này tuân thủ Nghị định 53/2022/NĐ-CP: dữ liệu bản chính của người dùng Việt Nam được lưu trong nước.

4. Chia sẻ dữ liệu

Chúng tôi không bán, không cho thuê dữ liệu của bạn. Dữ liệu chỉ được chia sẻ trong các trường hợp:

• Đối tác hỗ trợ: Casso.vn/Sepay (chỉ thông tin tham chiếu giao dịch ngân hàng để đối soát thanh toán). Đối tác này chỉ thấy nội dung chuyển khoản, không thấy nội dung thư của bạn.
• Yêu cầu pháp luật: khi cơ quan nhà nước có thẩm quyền yêu cầu bằng văn bản theo đúng quy trình pháp luật. Chúng tôi sẽ thông báo cho bạn trừ khi luật cấm.

5. Bảo mật

• Mật khẩu lưu trữ dạng Argon2id (không thể đảo ngược).
• TLS 1.2+ bắt buộc cho mọi giao thức (IMAP, SMTP, HTTPS).
• DKIM + DMARC ký mọi mail outbound để chống giả mạo.
• Sao lưu mã hóa ở mức khối (block-level encryption qua restic + Age).
• Hệ thống xâm nhập tự động bị chặn qua fail2ban (SSH, SMTP, IMAP).
• Đội vận hành chỉ truy cập dữ liệu khi cần điều tra sự cố và mọi truy cập đều ghi log audit không thể sửa.

6. Quyền của bạn

Theo Nghị định 13/2023/NĐ-CP, bạn có các quyền sau với dữ liệu cá nhân của mình:

• Quyền truy cập: xem mọi dữ liệu chúng tôi có về bạn.
• Quyền chỉnh sửa: cập nhật thông tin cá nhân qua portal.
• Quyền xóa: yêu cầu xóa toàn bộ dữ liệu sau khi chấm dứt dịch vụ.
• Quyền hạn chế xử lý: yêu cầu chúng tôi không sử dụng dữ liệu cho mục đích cụ thể.
• Quyền chuyển dữ liệu: xuất toàn bộ thư dưới định dạng MBOX/EML chuẩn để chuyển sang nhà cung cấp khác.
• Quyền khiếu nại: gửi khiếu nại đến cơ quan quản lý.

Để thực hiện các quyền này, gửi yêu cầu đến privacy@vne.email. Chúng tôi phản hồi trong vòng 72 giờ làm việc.

7. Thời gian lưu trữ

• Dữ liệu hộp thư: trong suốt thời gian dịch vụ + 30 ngày sau chấm dứt (giai đoạn khôi phục).
• Log truy cập: 90 ngày.
• Log audit (vận hành): 24 tháng.
• Biên nhận thanh toán: lưu trong suốt thời gian dịch vụ.
• Sao lưu offsite: 90 ngày kể từ lần sao lưu cuối.

8. Cookie và theo dõi

Trang marketing vne.email không sử dụng cookie theo dõi hành vi hoặc dịch vụ phân tích bên thứ ba (như Google Analytics, Facebook Pixel). Trang portal và webmail dùng cookie session với cờ HttpOnly + Secure + SameSite=Lax, chỉ phục vụ mục đích đăng nhập.

9. Trẻ em

Dịch vụ vne.email không hướng đến người dưới 16 tuổi và chúng tôi không cố ý thu thập dữ liệu cá nhân của trẻ em.

10. Thay đổi chính sách

Khi có thay đổi đáng kể, chúng tôi sẽ gửi thông báo qua email ít nhất 30 ngày trước khi có hiệu lực. Phiên bản hiện tại luôn truy cập được tại vne.email/quyen-rieng-tu.

11. Liên hệ

Mọi câu hỏi về chính sách này, vui lòng liên hệ privacy@vne.email.