Chuyển đến nội dung chính
Certyneo

Chính sách bảo mật

Cập nhật lần cuối : Ngày 14 tháng 4 năm 2026

1. Người chịu trách nhiệm xử lý

Người chịu trách nhiệm xử lý dữ liệu được thu thập qua nền tảng Certyneo là công ty Certyneo, có trụ sở tại Pháp (Certyneo SAS, 7 Rue du Faubourg Saint-Honoré, 75008 Paris, France — R.C.S. Paris 930 253 148). Đối với mọi câu hỏi liên quan đến dữ liệu cá nhân của Quý khách, Quý khách có thể liên hệ chúng tôi tại [email protected].

2. Dữ liệu được thu thập

Chúng tôi thu thập dữ liệu mà Quý khách cung cấp trực tiếp (họ, tên, email, mật khẩu đã băm, chức năng, công ty, số điện thoại), các tài liệu Quý khách tải lên để ký, cũng như siêu dữ liệu kỹ thuật cần thiết cho hoạt động của Dịch vụ (địa chỉ IP, user-agent, dấu thời gian, ID phiên).

3. Mục đích xử lý

Dữ liệu của Quý khách được xử lý để: (i) cung cấp và vận hành Dịch vụ chữ ký điện tử, (ii) đảm bảo giá trị chứng cứ của chữ ký được phát hành, (iii) lập hóa đơn cho đăng ký của Quý khách, (iv) đảm bảo bảo mật nền tảng và ngăn chặn gian lận, (v) gửi cho Quý khách các thông tin liên lạc liên quan đến Dịch vụ, và (vi) tuân thủ các nghĩa vụ pháp lý và quy định của chúng tôi.

4. Cơ sở pháp lý

Các xử lý được thực hiện dựa trên việc thực hiện hợp đồng ràng buộc chúng ta (điều 6.1.b GDPR), tuân thủ nghĩa vụ pháp lý (điều 6.1.c), và lợi ích chính đáng của chúng tôi để bảo vệ Dịch vụ (điều 6.1.f). Không có xử lý nào nhằm mục đích tiếp thị thương mại được thực hiện mà không có sự đồng ý trước rõ ràng của Quý khách.

5. Người nhận

Dữ liệu của Quý khách có thể được truy cập bởi các nhóm kỹ thuật và hỗ trợ của chúng tôi được ủy quyền nghiêm ngặt, cũng như các nhà thầu phụ hiện tại của chúng tôi: nhà lưu trữ (IONOS, Liên minh Châu Âu), dịch vụ gửi email giao dịch (Resend) và dịch vụ OTP qua SMS (Twilio Verify). Tất cả nhà thầu phụ của chúng tôi đều bị ràng buộc bởi hợp đồng và có các đảm bảo đủ về bảo mật. Danh sách cập nhật có sẵn theo yêu cầu tại [email protected].

6. Lưu trữ và vị trí

Dữ liệu của Quý khách được lưu trữ độc quyền trên các máy chủ đặt tại Liên minh Châu Âu (Đức). Không có dữ liệu cá nhân nào được chuyển ra ngoài EU mà không có các đảm bảo phù hợp (điều khoản hợp đồng chuẩn của Ủy ban Châu Âu).

7. Thời hạn bảo quản

Dữ liệu tài khoản của Quý khách được bảo quản chừng nào Quý khách còn là người dùng Dịch vụ. Tài liệu đã ký và bằng chứng kiểm toán của chúng được bảo quản 10 năm sau khi ký, tuân thủ yêu cầu của quy định eIDAS và Bộ luật Dân sự Pháp. Dữ liệu kỹ thuật (log) được bảo quản tối đa 12 tháng.

8. Quyền của Quý khách

Tuân thủ GDPR, Quý khách có quyền truy cập, sửa đổi, xóa, hạn chế, chuyển đổi và phản đối liên quan đến dữ liệu của mình. Quý khách có thể thực hiện các quyền này từ bảng điều khiển của mình hoặc bằng cách viết cho chúng tôi tại [email protected]. Quý khách cũng có quyền khiếu nại với CNIL (cơ quan bảo vệ dữ liệu cá nhân của Pháp) (www.cnil.fr).

8.bis Cán bộ bảo vệ dữ liệu (DPO)

Certyneo dựa vào một DPO được chia sẻ từ bên ngoài thông qua công ty tư vấn DPO-Consulting (trong trường hợp không có DPO được bổ nhiệm nội bộ — sẽ được thông báo sau khi tuyển dụng DPO nội bộ hoàn tất). Bạn có thể liên hệ với DPO tại [email protected] để giải đáp bất kỳ câu hỏi nào liên quan đến dữ liệu cá nhân của bạn, và gửi khiếu nại đến CNIL (3, place de Fontenoy — TSA 80715 — 75334 Paris Cedex 07) nếu yêu cầu của bạn không được trả lời. Một thông báo với CNIL trong sổ đăng ký DPO sẽ được gửi ngay sau khi hợp đồng ký kết được hoàn tất.

9. Bảo mật

Chúng tôi triển khai các biện pháp kỹ thuật và tổ chức sau để bảo vệ dữ liệu của Quý khách: mã hóa TLS 1.3 cho mọi giao tiếp (Caddy 2 + Let's Encrypt), băm scrypt với salt và so sánh timing-safe cho mật khẩu người dùng, OTP Twilio Verify sử dụng một lần cho chữ ký nâng cao, token xác minh email và đặt lại mật khẩu sử dụng một lần với thời hạn ngắn (1 giờ), rate limiting theo gói trên các endpoint nhạy cảm, ghi nhật ký có dấu thời gian cho mỗi bước trong vòng đời phong bì (audit log), lưu trữ đối tượng với versioning được bật trên tài liệu đã ký, quyền truy cập dữ liệu bị hạn chế bởi quản trị viên. Danh sách chi tiết các thực hành bảo mật của chúng tôi có sẵn trên trang /security.

10. Cookie

Chúng tôi chỉ sử dụng cookies thực sự cần thiết cho hoạt động của Dịch vụ (quản lý phiên, tùy chọn ngôn ngữ, bảo vệ CSRF). Không có cookie đo lường đối tượng bên thứ ba hoặc quảng cáo nào được đặt mà không có sự đồng ý rõ ràng của Quý khách.

11. Sửa đổi

Chính sách này có thể phát triển để phản ánh những thay đổi trong Dịch vụ của chúng tôi hoặc quy định áp dụng. Mọi sửa đổi đáng kể sẽ được thông báo cho Quý khách qua email. Ngày cập nhật lần cuối hiển thị ở đầu trang này.

Đối với mọi câu hỏi liên quan đến dữ liệu cá nhân của Quý khách, liên hệ đại diện bảo vệ dữ liệu của chúng tôi tại [email protected].