Chính sách Bảo mật.

Cập nhật lần cuối .

Privacy Policy

Chính sách này giải thích cách Trần Đức Phương ("tôi") thu thập, sử dụng, lưu trữ và bảo vệ dữ liệu cá nhân khi bạn truy cập thunderphong.com ("Website").

Tôi áp dụng nguyên tắc dữ liệu tối thiểu: chỉ thu thập những gì cần thiết để Website vận hành và để phản hồi bạn, và tôi không bao giờ bán, trao đổi, hay cho thuê dữ liệu cá nhân.

Bằng việc sử dụng Website, bạn đồng ý với các hoạt động được mô tả tại đây. Nếu không đồng ý, vui lòng ngưng sử dụng.

1. Người tôi là (Bên kiểm soát dữ liệu)

Tôi là cá nhân vận hành Website này như một portfolio cá nhân/chuyên môn. Không có tổ chức hay pháp nhân riêng đứng sau.

2. Phạm vi

Chính sách này chỉ áp dụng cho trang landing công khai tại thunderphong.com (domain gốc).

Chính sách không áp dụng cho:

  • Các subdomain như console.thunderphong.com hoặc bất kỳ sản phẩm/dịch vụ nào khác tôi vận hành dưới subdomain — mỗi nơi có chính sách bảo mật riêng vì dữ liệu thu thập và căn cứ pháp lý khác nhau (vd. tài khoản đăng nhập, dữ liệu giao dịch).
  • Các website bên thứ ba được liên kết từ Website.

Nếu bạn đang sử dụng một subdomain, vui lòng tham khảo chính sách bảo mật được công bố trên subdomain đó.

3. Dữ liệu tôi thu thập

3.1 Nhật ký máy chủ và hạ tầng (tự động thu thập)

Khi bạn truy cập, các nhà cung cấp hosting và CDN tự động ghi lại:

  • Địa chỉ IP
  • Loại và phiên bản trình duyệt (User-Agent)
  • URL nguồn (referrer)
  • Các trang đã yêu cầu và thời điểm
  • Vị trí địa lý gần đúng (quốc gia/khu vực dựa trên IP)

Mục đích: vận hành Website, bảo mật, chống lạm dụng, debug.

Căn cứ pháp lý: lợi ích hợp pháp (GDPR Đ.6(1)(f)) / mục đích chính đáng vận hành Website (Luật Bảo vệ Dữ liệu Cá nhân 2025).

Thời hạn lưu: 30 đến 90 ngày (theo mặc định nhà cung cấp).

3.2 Phân tích truy cập

Website sử dụng Umami, một công cụ analytics mã nguồn mở, thân thiện quyền riêng tư, được tôi tự vận hành (self-host) trên hạ tầng Railway của mình. Umami thu thập:

  • Lượt xem trang và đường dẫn điều hướng trong Website
  • Nguồn truy cập (vd. liên kết bên ngoài nào đưa bạn tới đây)
  • Quốc gia và loại thiết bị gần đúng
  • Số liệu phiên tổng hợp

Umami không sử dụng cookie, không gán định danh cố định cho bạn, và không chia sẻ dữ liệu với bên thứ ba nào. Địa chỉ IP được băm (hash) và loại bỏ trước khi lưu trữ, nên cá nhân không bị theo dõi xuyên phiên.

Mục đích: hiểu nội dung nào hữu ích để cải thiện Website.

Căn cứ pháp lý: lợi ích hợp pháp (GDPR Đ.6(1)(f)) / mục đích chính đáng (PDPL 2025). Vì analytics không dùng cookie và không nhận dạng cá nhân, không cần banner đồng ý cookie.

Thời hạn lưu: chỉ dữ liệu tổng hợp; không có bản ghi theo từng người dùng.

3.3 Biểu mẫu liên hệ

Khi bạn gửi biểu mẫu liên hệ, tôi thu thập:

  • Họ tên của bạn
  • Địa chỉ email
  • Nội dung tin nhắn
  • Thời điểm gửi và địa chỉ IP (để chống spam)

Mục đích: phản hồi yêu cầu của bạn.

Căn cứ pháp lý: sự đồng ý rõ ràng của bạn (PDPL 2025) và xử lý cần thiết theo yêu cầu của bạn trước khi giao kết hợp đồng (GDPR Đ.6(1)(a)/(b)).

Thời hạn lưu:18 tháng kể từ khi gửi, sau đó tin nhắn được tự động xóa, trừ khi có cuộc trao đổi đang diễn ra cần thời gian dài hơn.

Nếu bạn muốn, có thể sử dụng các liên kết mailto: trên Website thay vì biểu mẫu — các liên kết này mở ứng dụng email của bạn và gửi tin nhắn trực tiếp tới tôi mà không có dữ liệu nào được xử lý qua Website.

3.4 Những gì tôi KHÔNG thu thập

Tôi không thu thập hoặc lưu trữ:

  • Mật khẩu, thông tin thanh toán, hoặc dữ liệu tài chính
  • Dữ liệu vị trí chính xác (GPS)
  • Danh bạ, số điện thoại, hoặc giấy tờ tuỳ thân
  • Dữ liệu sức khoẻ, sinh trắc học, tôn giáo, hoặc chính trị
  • Bất kỳ dữ liệu cá nhân nhạy cảm nào khác

Tôi không chạy quảng cáo, pixel marketing, thẻ retargeting, ghi lại phiên (session replay), bản đồ nhiệt (heatmap), hoặc ghi phím (keystroke logging). Website không có tài khoản người dùng và không có đăng nhập.

3.5 Cookie và công nghệ tương tự

Website chỉ sử dụng cookie/local storage thiết yếu (vd. ghi nhớ tuỳ chọn ngôn ngữ). Các cookie này không cần sự đồng ý.

Nếu sau này có cookie không thiết yếu (analytics, marketing, embed), một banner đồng ý sẽ được hiển thị và các cookie đó sẽ không được đặt trước khi bạn chọn đồng ý.

4. Bên thứ ba xử lý dữ liệu thay tôi (Bên xử lý)

Bên xử lýMục đíchNơi xử lý
Railway Corp.Hosting ứng dụngSingapore (ap-southeast-1)
Cloudflare, Inc.CDN, DNS, chống bot, nhật ký edgeEdge toàn cầu; gần Singapore
Resend (Resend.com, Inc.)Gửi email từ biểu mẫu liên hệHoa Kỳ
Umami (self-host trên Railway)Phân tích lưu lượng tổng hợp, không cookieSingapore (ap-southeast-1)

Tất cả bên xử lý đều ràng buộc bởi điều khoản bảo mật và xử lý dữ liệu của riêng họ. Khi họ đặt ngoài Việt Nam hoặc EEA, tôi dựa vào các hợp đồng xử lý dữ liệu chuẩn (DPA) và điều khoản hợp đồng chuẩn (SCC) khi áp dụng.

Tôi không bán dữ liệu cá nhân, không chia sẻ cho mục đích quảng cáo hành vi đa ngữ cảnh, và không dùng cho ra quyết định tự động có hiệu lực pháp lý.

5. Truyền dữ liệu xuyên biên giới

Vì Website được hosting trên Railway khu vực Singapore và sử dụng mạng edge toàn cầu Cloudflare, dữ liệu của bạn có thể được xử lý ngoài Việt Nam, EEA hoặc Vương quốc Anh.

Đối với truyền dữ liệu từ EEA/UK, tôi dựa vào:

  • Điều khoản hợp đồng chuẩn (SCC) do bên xử lý liên quan cung cấp
  • Các biện pháp bảo đảm hoặc đầy đủ (adequacy) riêng của bên xử lý

Đối với truyền dữ liệu từ Việt Nam (PDPL 2025), việc truyền được tài liệu hoá phù hợp yêu cầu của luật về xử lý dữ liệu xuyên biên giới.

6. Quyền của bạn

Theo luật áp dụng, bạn có quyền:

  • Truy cập dữ liệu cá nhân tôi giữ về bạn
  • Đính chính dữ liệu không chính xác hoặc không đầy đủ
  • Xoá dữ liệu của bạn ("quyền được lãng quên")
  • Hạn chế hoặc phản đối một số hoạt động xử lý
  • Rút lại sự đồng ý bất cứ lúc nào (không ảnh hưởng tới xử lý hợp pháp trước đó)
  • Khả chuyển dữ liệu (nhận dữ liệu ở định dạng có cấu trúc, có thể đọc bằng máy)
  • Khiếu nại với cơ quan có thẩm quyền tại địa phương:
    • Việt Nam: Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) — Bộ Công an
    • EU/EEA: cơ quan bảo vệ dữ liệu quốc gia bạn cư trú
    • Vương quốc Anh: Information Commissioner's Office (ICO)

Để thực hiện các quyền trên, gửi email tới [email protected]. Tôi sẽ phản hồi trong 72 giờ đối với yêu cầu theo luật Việt Nam và trong một tháng đối với yêu cầu theo GDPR/UK GDPR.

Vì Website không có tài khoản người dùng, tôi có thể cần xác minh danh tính qua địa chỉ email bạn dùng khi nộp dữ liệu.

7. Bảo mật

Tôi thực hiện các biện pháp kỹ thuật và tổ chức hợp lý để bảo vệ dữ liệu, bao gồm:

  • HTTPS/TLS cho toàn bộ lưu lượng
  • Tường lửa ứng dụng web và chống DDoS của Cloudflare
  • Kiểm soát truy cập hosting và hạ tầng email
  • Mã hoá khi lưu trữ nếu bên xử lý hỗ trợ

Không có hệ thống nào an toàn 100%. Nếu xảy ra sự cố dữ liệu ảnh hưởng tới quyền của bạn, tôi sẽ thông báo Bộ Công an trong vòng 72 giờ và thông báo người dùng bị ảnh hưởng khi GDPR Đ.34 hoặc PDPL 2025 yêu cầu.

8. Trẻ em

Website không nhắm tới trẻ em dưới 16 tuổi. Tôi không cố ý thu thập dữ liệu cá nhân của trẻ em. Nếu bạn cho rằng một trẻ em đã cung cấp dữ liệu, hãy liên hệ tôi để xoá.

Website có chứa các liên kết tới website bên thứ ba (vd. GitHub, LinkedIn, blog tham chiếu). Tôi không chịu trách nhiệm về thực hành bảo mật của họ. Vui lòng xem xét chính sách của họ riêng.

10. Thay đổi chính sách

Tôi có thể cập nhật chính sách theo thời gian. Ngày "Cập nhật lần cuối" ở đầu trang phản ánh phiên bản mới nhất. Các thay đổi quan trọng sẽ được làm nổi bật trên Website trong khoảng thời gian hợp lý.

11. Liên hệ

Câu hỏi, yêu cầu hoặc khiếu nại về chính sách hoặc dữ liệu của bạn:

Xem thêm Điều khoản Sử dụng.

Phuong Tran

Built with care, in Can Tho

© 2026 Phuong Tran