Chính sách Bảo mật — Markus Lab Studio
Phiên bản: v1.0-2026-06 Cập nhật lần cuối: Tháng 6 năm 2026 Hiệu lực từ: Tháng 6 năm 2026
Tóm tắt nhanh (TL;DR): Markus Lab thu thập email và thông tin liên hệ của bạn khi bạn đăng ký nhận tài liệu, newsletter hoặc liên hệ chúng tôi. Chúng tôi dùng dữ liệu này để gửi nội dung bạn yêu cầu và follow-up dịch vụ. Chúng tôi KHÔNG bán dữ liệu cho bên thứ 3. Bạn có quyền yêu cầu xem hoặc xóa dữ liệu của mình bất cứ lúc nào tại /privacy/export-my-data và /privacy/delete-my-data.
1. Ai chúng tôi là
Markus Lab là thương hiệu dịch vụ tư vấn và phát triển sản phẩm công nghệ thuộc Công ty TNHH 4 days per week (sau đây gọi là "chúng tôi" hoặc "Markus Lab").
Thông tin liên hệ:
- Email: daotuan301@gmail.com
- Zalo: 0914842077
- Website: https://markuslab.pro
Tài liệu này tuân thủ Nghị định 13/2023/NĐ-CP của Chính phủ Việt Nam về bảo vệ dữ liệu cá nhân, có hiệu lực từ 01/07/2023.
2. Dữ liệu chúng tôi thu thập
2.1. Dữ liệu bạn cung cấp trực tiếp
Khi bạn tương tác với website markuslab.pro, chúng tôi thu thập các dữ liệu sau chỉ khi bạn tự nguyện cung cấp:
| Tình huống | Dữ liệu thu thập |
|---|---|
| Đăng ký newsletter | |
| Tải tài liệu (lead magnet) | Email · Họ tên · Công ty (tùy chọn) · Vai trò · Các custom fields tùy theo tài liệu |
| Liên hệ qua form | Email · Họ tên · Nội dung tin nhắn |
| Đặt lịch tư vấn (booking) | Email · Họ tên · Số điện thoại (tùy chọn) · Thời gian booking · Ghi chú |
| Bình luận blog (qua Disqus) | Theo chính sách của Disqus (Disqus profile, email) |
2.2. Dữ liệu thu thập tự động
Khi bạn truy cập website, chúng tôi tự động thu thập:
| Loại | Mô tả | Mục đích |
|---|---|---|
| Thông tin truy cập | URL trang xem, thời gian, referrer, browser/OS | Đo lường traffic, cải thiện UX (qua Plausible Analytics — không dùng cookies, không tracking cá nhân) |
| Lịch sử tương tác | Số lượt download, lượt mở email | Tối ưu nội dung lead magnet |
| Dữ liệu kỹ thuật | IP address (chỉ tạm thời để rate limit + chống spam, không lưu lâu dài) | An ninh hệ thống |
Chúng tôi KHÔNG dùng các tracker xâm phạm như Facebook Pixel, Google Ads tracking, hoặc fingerprinting.
3. Cookies & công nghệ tương tự
3.1. Loại cookies chúng tôi dùng
| Loại | Có bắt buộc? | Mô tả |
|---|---|---|
| Cookie chức năng | Bắt buộc | Lưu session đăng nhập admin, lựa chọn cookie consent của bạn. Không có cách opt-out (cần cho website hoạt động) |
| Cookie phân tích (Plausible) | Không dùng cookie | Plausible self-host, không lưu cookies trên máy bạn |
| Cookie bên thứ 3 (Disqus) | Tùy chọn | Chỉ load khi bạn click "Chấp nhận" trên banner cookie. Disqus dùng cookies để nhận diện bình luận viên |
3.2. Cookie banner
Lần đầu truy cập, bạn sẽ thấy banner cookie với 2 lựa chọn:
- [Chấp nhận] — Cho phép cookies bên thứ 3 (Disqus comments)
- [Từ chối] — Chỉ cookies chức năng cần thiết; Disqus sẽ không hiển thị
Lựa chọn được lưu 1 năm. Bạn có thể đổi ý bằng cách xóa cookies website hoặc nhấn nút "Cài đặt cookie" ở footer.
4. Tại sao chúng tôi xử lý dữ liệu của bạn
| Mục đích | Cơ sở pháp lý (Nghị định 13/2023) |
|---|---|
| Gửi tài liệu lead magnet bạn yêu cầu | Thực hiện hợp đồng (Điều 17.1.b) |
| Gửi newsletter bạn đăng ký | Sự đồng ý của bạn (Điều 17.1.a) |
| Xử lý yêu cầu liên hệ / booking | Thực hiện hợp đồng (Điều 17.1.b) |
| Follow-up dịch vụ ABCD (Accelerator, Business Ready, Custom Solutions, Duo Apps) | Lợi ích hợp pháp + sự đồng ý (Điều 17.1.a, 17.1.f) |
| Cải thiện website và nội dung | Lợi ích hợp pháp (Điều 17.1.f) |
| Tuân thủ luật pháp (kế toán, thuế, audit) | Nghĩa vụ pháp lý (Điều 17.1.c) |
| Bảo vệ an ninh hệ thống (rate limit, anti-spam) | Lợi ích hợp pháp (Điều 17.1.f) |
Chúng tôi sẽ KHÔNG:
- Bán dữ liệu của bạn cho bên thứ 3
- Dùng dữ liệu cho mục đích khác mục đích thu thập ban đầu
- Gửi email marketing nếu bạn đã unsubscribe
5. Chúng tôi chia sẻ dữ liệu với ai
Dữ liệu của bạn được lưu trữ và xử lý qua các nhà cung cấp dịch vụ sau:
| Nhà cung cấp | Dịch vụ | Dữ liệu chia sẻ | Vị trí server |
|---|---|---|---|
| Supabase (supabase.com) | Database + Authentication + File storage | Toàn bộ thông tin profile, lịch sử submissions | AWS Singapore / US |
| Resend (resend.com) | Gửi email | Email, tên, nội dung email | AWS US |
| Vultr (vultr.com) | VPS hosting | Toàn bộ traffic logs | Asia (Singapore/Tokyo) |
| Cal.com (cal.com) | Booking scheduling | Email, tên, thời gian booking | Global |
| Anthropic (anthropic.com) | AI processing cho SEO tool | Chỉ nội dung blog admin nhập (không có data cá nhân của user) | US |
| Disqus (disqus.com) | Bình luận blog (chỉ khi bạn opt-in cookies) | Theo chính sách Disqus | US |
Chúng tôi KHÔNG chia sẻ dữ liệu với:
- Đối tác marketing bên thứ 3
- Mạng quảng cáo (Facebook Ads, Google Ads)
- Data brokers
Trường hợp ngoại lệ: Chúng tôi có thể tiết lộ dữ liệu khi có yêu cầu hợp pháp từ cơ quan nhà nước Việt Nam (theo Điều 23 Nghị định 13/2023).
6. Lưu trữ dữ liệu trong bao lâu
| Loại dữ liệu | Thời gian lưu |
|---|---|
| Lead/subscriber data (chưa thành khách hàng) | 3 năm kể từ lần tương tác cuối → soft delete (email hash, name xóa). 5 năm → hard delete |
| Khách hàng đã ký hợp đồng | Vô thời hạn (luật kế toán VN yêu cầu) |
| Email logs (gửi/mở/click) | 1 năm |
| Login attempts (admin) | 90 ngày |
| Traffic analytics (Plausible) | Aggregated forever, raw 6 tháng |
| Backup database | 7 ngày (Supabase auto) |
Bạn có quyền yêu cầu xóa sớm hơn — xem mục 7.
7. Quyền của bạn
Theo Nghị định 13/2023/NĐ-CP, bạn có 8 quyền sau:
7.1. Quyền được biết (Điều 9)
Quyền biết chúng tôi xử lý dữ liệu cá nhân của bạn — đáp ứng qua chính sách này.
7.2. Quyền đồng ý / rút lại đồng ý (Điều 11)
- Bạn có thể từ chối hoặc rút lại đồng ý bất cứ lúc nào
- Rút lại không ảnh hưởng đến tính hợp pháp của xử lý trước đó
- Cách rút: click link "Unsubscribe" ở footer mỗi email, hoặc liên hệ daotuan301@gmail.com
7.3. Quyền truy cập (Điều 13)
Bạn có quyền xem dữ liệu cá nhân của mình mà chúng tôi lưu trữ. → Tự phục vụ: /privacy/export-my-data → Hoặc email daotuan301@gmail.com → Thời gian phản hồi: trong vòng 7 ngày
7.4. Quyền điều chỉnh (Điều 14)
Yêu cầu sửa thông tin sai/lỗi thời. → Email daotuan301@gmail.com với thông tin mới
7.5. Quyền xóa (Right to be Forgotten) (Điều 16)
Yêu cầu xóa toàn bộ dữ liệu cá nhân. → Tự phục vụ: /privacy/delete-my-data → Yêu cầu được xác nhận qua email link → Thời gian xử lý: trong vòng 30 ngày → Ngoại lệ: dữ liệu kế toán/hợp đồng có thể phải giữ theo luật
7.6. Quyền hạn chế xử lý (Điều 17)
Yêu cầu tạm dừng xử lý dữ liệu trong một số trường hợp (đang kiểm tra tính chính xác, đang phản đối, etc.)
7.7. Quyền phản đối xử lý (Điều 19)
Phản đối các xử lý vì lý do cá nhân của bạn.
7.8. Quyền khiếu nại
Khiếu nại lên cơ quan quản lý nhà nước về bảo vệ dữ liệu cá nhân của Việt Nam:
- Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05) — Bộ Công an
- Hotline: 069 219 5715
7a. Quản lý đăng ký email (Preference Center)
Ngoài các quyền theo Nghị định 13/2023, bạn có thể tự quản lý các loại email nhận từ Markus Lab bất cứ lúc nào:
| Loại email | Mô tả | Mặc định |
|---|---|---|
| Bản tin định kỳ | Bài viết, insights và cập nhật từ Markus Lab | Bật |
| Chuỗi email educational | Chuỗi 4 email về AI, automation và dịch vụ | Tắt |
| Ưu đãi & khuyến mãi | Workshop, sự kiện và chương trình đặc biệt | Tắt |
Cách quản lý: Truy cập /preferences → nhập email → nhận link quản lý (hiệu lực 7 ngày).
Link quản lý preferences được gửi qua email để xác minh quyền sở hữu địa chỉ email — không cần đăng nhập tài khoản.
8. Bảo mật dữ liệu
Chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức sau:
| Biện pháp | Mô tả |
|---|---|
| Mã hóa truyền tải | HTTPS với chứng chỉ Let's Encrypt SAN, HSTS bật |
| Mã hóa lưu trữ | Supabase Postgres encryption at rest |
| Kiểm soát truy cập | Row-Level Security (RLS) trên mọi bảng database |
| Mật khẩu mạnh | Yêu cầu ≥ 8 ký tự, hỗ trợ password manager |
| Lockout | 5 lần đăng nhập sai → khóa IP+email 15 phút |
| Audit log | Mọi thay đổi dữ liệu được ghi lại |
| Backup | Daily backup Supabase, 7 ngày retention |
| Disposable email | Chặn email rác để bảo vệ user thật |
| Rate limiting | 10 req/phút/IP cho public endpoints |
Trong trường hợp xảy ra rò rỉ dữ liệu: chúng tôi sẽ thông báo cho bạn và Cục A05 trong vòng 72 giờ kể từ khi phát hiện, theo Điều 24 Nghị định 13/2023.
9. Trẻ em dưới 16 tuổi
Markus Lab là dịch vụ B2B dành cho doanh nghiệp và founder. Chúng tôi KHÔNG cố ý thu thập dữ liệu từ trẻ em dưới 16 tuổi.
Nếu bạn là phụ huynh và phát hiện con bạn đã cung cấp dữ liệu cho chúng tôi, vui lòng email daotuan301@gmail.com — chúng tôi sẽ xóa ngay.
10. Chuyển dữ liệu xuyên biên giới
Một số nhà cung cấp dịch vụ của chúng tôi (Supabase, Resend, Anthropic) có server ở Hoa Kỳ. Khi đăng ký, bạn đồng ý với việc chuyển dữ liệu của bạn ra ngoài lãnh thổ Việt Nam.
Chúng tôi đảm bảo các nhà cung cấp này:
- Tuân thủ tiêu chuẩn bảo mật quốc tế (SOC 2, ISO 27001)
- Có chính sách bảo mật rõ ràng, công khai
- Cam kết không sử dụng dữ liệu cho mục đích khác
11. Thay đổi Chính sách Bảo mật
Chúng tôi có thể cập nhật chính sách này theo thời gian. Các phiên bản:
| Version | Ngày | Tóm tắt thay đổi |
|---|---|---|
| v1.0-2026-06 | Tháng 6 năm 2026 | Phiên bản đầu tiên |
Cách chúng tôi thông báo khi update:
- Email tới tất cả subscribers nếu thay đổi quan trọng (ảnh hưởng quyền lợi)
- Banner thông báo trên website 30 ngày sau update
- Số phiên bản tăng (vd: v1.1, v2.0)
12. Liên hệ về Quyền riêng tư
Mọi câu hỏi, yêu cầu liên quan đến quyền riêng tư:
Markus (Dao Tuan)
- Email: daotuan301@gmail.com
- Zalo: 0914842077
Chúng tôi cam kết phản hồi trong vòng 7 ngày làm việc.
Tham chiếu pháp lý
- Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân
- Luật An ninh mạng 2018
- Luật Bảo vệ quyền lợi người tiêu dùng 2010 (sửa đổi 2023)