Chính Sách Bảo Mật

1. Giới Thiệu

Bếp Thuỷ Japan (sau đây gọi tắt là "chúng tôi") cam kết tôn trọng và bảo vệ quyền riêng tư của khách hàng. Chính sách này giải thích chúng tôi thu thập những thông tin gì, sử dụng như thế nào, và quyền của khách hàng đối với dữ liệu cá nhân.

Bằng việc sử dụng website hoặc ứng dụng di động Bếp Thuỷ Japan, anh/chị đồng ý với các điều khoản trong chính sách này.

Đơn vị vận hành:

• Tên: Takahashi Keiichiro (タカハラ ケイイチロウ)
• Email: support@thuyjapan.com
• Website: thuyjapan.com
• Hoạt động: bán đặc sản phố cổ Hà Nội tại Nhật Bản

2. Dữ Liệu Thu Thập

2.1 Thông tin khách hàng cung cấp trực tiếp

• Thông tin tài khoản: email, tên hiển thị, mật khẩu (mã hoá), số điện thoại, ngày sinh (tuỳ chọn).
• Thông tin đặt hàng: tên người nhận, địa chỉ giao hàng (mã bưu điện 〒, tỉnh/thành, địa chỉ chi tiết, hộp thư), số điện thoại liên hệ.
• Thông tin thanh toán: ảnh biên lai chuyển khoản (PayPay / ngân hàng) — chúng tôi không lưu thông tin thẻ tín dụng / số tài khoản ngân hàng của khách.
• Tin nhắn: nội dung tin nhắn anh/chị gửi cho shop qua trang Tin Nhắn.

2.2 Thông tin tự động thu thập

• Dữ liệu sử dụng: trang đã xem, sản phẩm đã thêm vào giỏ, thời gian truy cập (qua Google Analytics).
• Thông tin thiết bị: loại trình duyệt, hệ điều hành, IP (chỉ dùng để chống spam và bảo mật, không định danh cá nhân).
• Cookies & Local Storage: để duy trì đăng nhập và lưu giỏ hàng tạm thời.

2.3 Trên ứng dụng di động (iOS / Android)

• Camera: chỉ khi anh/chị bấm nút chụp biên lai chuyển tiền — ảnh được upload lên server, không truy cập tự động.
• Push notifications: để thông báo trạng thái đơn hàng (đã xác nhận, đã gửi). Anh/chị có thể tắt trong Cài Đặt điện thoại.
• Thư viện ảnh: chỉ truy cập ảnh anh/chị chọn để upload, không quét toàn bộ thư viện.

3. Mục Đích Sử Dụng

Chúng tôi sử dụng dữ liệu thu thập để:

• Xử lý đơn hàng, giao hàng, và xác nhận thanh toán.
• Liên hệ với khách qua email / điện thoại / tin nhắn nội bộ về tình trạng đơn.
• Gửi email tự động: chào mừng đăng ký, chúc mừng sinh nhật, nhắc nhở khách lâu không quay lại (anh/chị có thể huỷ đăng ký bất cứ lúc nào).
• Cải thiện trải nghiệm mua sắm dựa trên dữ liệu sử dụng (ẩn danh).
• Phòng chống gian lận: kiểm tra ảnh biên lai trùng lặp, giới hạn số lần upload.
• Tuân thủ nghĩa vụ pháp lý (thuế, kế toán, khiếu nại).

Chúng tôi KHÔNG:

• Bán dữ liệu khách hàng cho bên thứ ba.
• Sử dụng dữ liệu cho quảng cáo bên ngoài (re-targeting).
• Chia sẻ thông tin cá nhân với mạng xã hội mà không được phép.

4. Bên Thứ Ba

Chúng tôi sử dụng các dịch vụ sau để vận hành — mỗi dịch vụ có chính sách bảo mật riêng:

• Supabase (lưu trữ database & xác thực): supabase.com/privacy
• Vercel (hosting website): vercel.com/legal/privacy-policy
• Google Analytics (đo lường traffic ẩn danh): policies.google.com/privacy
• hCaptcha (chống bot khi đăng ký/đăng nhập): hcaptcha.com/privacy
• GetResponse (gửi email autoresponder): getresponse.com/legal/privacy
• Apple Push Notification Service / Firebase Cloud Messaging (push notifications cho app di động).
• Đơn vị vận chuyển (Japan Post / Yamato / Sagawa): nhận thông tin địa chỉ giao hàng để chuyển hàng.

Ngoài các dịch vụ trên, chúng tôi không chia sẻ dữ liệu cá nhân với bất kỳ bên thứ ba nào khác trừ khi:

• Có sự đồng ý của khách hàng.
• Theo yêu cầu hợp pháp của cơ quan chức năng (toà án, cảnh sát).

5. Lưu Trữ & Bảo Mật

5.1 Vị trí lưu trữ

Dữ liệu được lưu trữ trên server của Supabase (vùng Châu Á - Singapore) và Vercel (CDN toàn cầu, edge nodes).

5.2 Thời gian lưu trữ

• Tài khoản & đơn hàng: lưu trữ vô thời hạn để hỗ trợ khiếu nại / hoàn tiền / tích điểm khách hàng thân thiết.
• Ảnh biên lai chuyển tiền: giữ tối thiểu 1 năm phục vụ đối soát kế toán.
• Tin nhắn: giữ vô thời hạn trong tài khoản để khách xem lại lịch sử.
• Khi khách yêu cầu xoá tài khoản (xem mục 7), dữ liệu cá nhân sẽ bị ẩn danh hoá hoặc xoá trong vòng 30 ngày.

5.3 Biện pháp bảo mật

• HTTPS bắt buộc trên toàn bộ website / app.
• Mật khẩu được mã hoá bằng bcrypt (Supabase Auth) — chúng tôi không bao giờ thấy mật khẩu gốc.
• Row Level Security (RLS) trên database — mỗi khách chỉ truy cập được dữ liệu của chính mình.
• CSP headers, HSTS, hCaptcha invisible chống bot.
• Rate limiting để chống tấn công brute-force.
• Phát hiện gian lận ảnh biên lai (SHA-256 dedup).

6. Cookies & Tracking

Website sử dụng các loại cookies / local storage sau:

• Cần thiết: duy trì phiên đăng nhập, lưu giỏ hàng tạm. Không thể tắt vì website không hoạt động được nếu thiếu.
• Phân tích: Google Analytics đo lường lượng truy cập (ẩn danh, không định danh cá nhân).

Anh/chị có thể chặn cookies trong cài đặt trình duyệt, nhưng một số tính năng (đăng nhập, giỏ hàng) sẽ không hoạt động.

7. Quyền Của Người Dùng

Theo các quy định bảo vệ dữ liệu cá nhân (GDPR, Luật Bảo vệ Thông tin Cá nhân Nhật Bản APPI), anh/chị có các quyền sau:

• Quyền truy cập: xem toàn bộ dữ liệu cá nhân của anh/chị tại trang Thông Tin Thành Viên.
• Quyền chỉnh sửa: tự cập nhật tên, SĐT, địa chỉ trong mục Thông Tin / Địa Chỉ.
• Quyền xoá tài khoản: gửi email tới support@thuyjapan.com với chủ đề "Yêu cầu xoá tài khoản". Chúng tôi sẽ xử lý trong vòng 30 ngày.
• Quyền xuất dữ liệu: yêu cầu file CSV/JSON chứa toàn bộ thông tin của anh/chị.
• Quyền huỷ nhận email: click "Unsubscribe" cuối mỗi email autoresponder.
• Quyền tắt push notifications: tại Cài Đặt điện thoại → Bếp Thuỷ Japan → Notifications.
• Quyền khiếu nại: liên hệ với chúng tôi hoặc cơ quan bảo vệ dữ liệu địa phương.

8. Trẻ Em

Dịch vụ Bếp Thuỷ Japan dành cho người trên 18 tuổi. Chúng tôi không chủ động thu thập dữ liệu của trẻ em dưới 13 tuổi. Nếu phát hiện đã thu thập nhầm, chúng tôi sẽ xoá ngay khi được thông báo.

9. Thay Đổi Chính Sách

Chính sách này có thể được cập nhật theo thời gian. Khi có thay đổi quan trọng, chúng tôi sẽ:

• Cập nhật ngày hiệu lực ở đầu trang.
• Gửi email thông báo tới khách đã đăng ký nếu thay đổi ảnh hưởng đến quyền lợi.
• Hiển thị banner thông báo trên website / app.

Khuyến nghị anh/chị xem lại chính sách định kỳ.

10. Liên Hệ