Chính sách bảo mật

1. Phạm vi áp dụng

Chính sách áp dụng cho mọi cá nhân truy cập website, đăng ký tài khoản WordPress/WooCommerce, mua credit, tải ảnh lên hệ thống Face Swap, và tương tác với các tính năng liên quan.

Chính sách không điều chỉnh website hoặc ứng dụng của bên thứ ba (ngân hàng, mạng xã hội, nhà cung cấp API) mà bạn truy cập qua liên kết ngoài; bạn nên đọc chính sách riêng của họ.

Sử dụng dịch vụ đồng nghĩa bạn đã đọc chính sách này và Điều khoản dịch vụ.

2. Vai trò và thông tin chủ quản

Chủ quản xử lý dữ liệu cá nhân (Data Controller) trong phạm vi website AiPicto là chủ sở hữu và đơn vị vận hành website tại https://aipicto.com/ (“Chúng tôi”, “Chủ web”).

Một số hoạt động xử lý có thể do bên xử lý dữ liệu (Data Processor) thực hiện thay mặt Chủ web theo hợp đồng, ví dụ: nhà cung cấp hosting, lưu trữ đám mây (Cloudflare R2 hoặc tương đương), API xử lý ảnh AI, cổng thanh toán, dịch vụ email. Chủ web lựa chọn đối tác có cam kết bảo mật phù hợp và chỉ cung cấp dữ liệu trong phạm vi cần thiết.

3. Loại dữ liệu thu thập

Tùy cách bạn sử dụng, chúng tôi có thể xử lý các nhóm dữ liệu sau:

Chúng tôi không cố ý thu thập dữ liệu trẻ em dưới 16 tuổi. Nếu phát hiện, sẽ xóa trong thời gian hợp lý.

4. Mục đích xử lý

• Cung cấp, vận hành và cải thiện dịch vụ Face Swap (xử lý ảnh, hiển thị lịch sử kết quả cho tài khoản đăng nhập);
• Quản lý tài khoản, xác thực, phân quyền truy cập;
• Xử lý thanh toán, cấp credit, đối soát giao dịch;
• Phòng chống gian lận, lạm dụng, vi phạm điều khoản và pháp luật;
• Hỗ trợ khách hàng, giải quyết khiếu nại;
• Tuân thủ nghĩa vụ pháp lý (kế toán, thuế, cung cấp thông tin khi cơ quan có thẩm quyền yêu cầu hợp pháp);
• Thống kê, bảo trì hệ thống, sao lưu và khôi phục sự cố.

Chúng tôi không sử dụng ảnh của bạn để huấn luyện mô hình AI công cộng, bán cho bên thứ ba, hoặc quảng cáo nhận diện khuôn mặt, trừ khi có sự đồng ý riêng bằng văn bản rõ ràng.

5. Cơ sở pháp lý xử lý

Chúng tôi xử lý dữ liệu cá nhân dựa trên một hoặc nhiều cơ sở sau theo pháp luật Việt Nam:

• Sự đồng ý của chủ thể dữ liệu (ví dụ: tải ảnh, đăng ký nhận tin nếu có);
• Thực hiện hợp đồng hoặc tiền hợp đồng (cung cấp dịch vụ bạn yêu cầu, thanh toán);
• Nghĩa vụ pháp lý (lưu trữ chứng từ, phối hợp cơ quan nhà nước);
• Lợi ích hợp pháp của Chủ web hoặc bên thứ ba (bảo mật hệ thống, ngăn lạm dụng), không lấn át quyền và lợi ích hợp pháp của bạn.

Đối với dữ liệu nhạy cảm (ảnh khuôn mặt), chúng tôi ưu tiên xử lý trên cơ sở đồng ý rõ ràng thông qua hành vi tải ảnh và sử dụng dịch vụ sau khi được thông báo.

6. Cookie và công nghệ theo dõi

Website có thể sử dụng cookie, local storage và công nghệ tương tự để:

• Duy trì phiên đăng nhập WordPress/WooCommerce;
• Ghi nhớ tùy chọn giao diện;
• Phân tích lưu lượng (nếu bật công cụ như Google Analytics — chỉ khi được cấu hình).

Bạn có thể quản lý cookie qua trình duyệt; tắt cookie thiết yếu có thể khiến một số chức năng không hoạt động.

7. Chia sẻ với bên thứ ba

Chúng tôi có thể chia sẻ dữ liệu với:

• Nhà cung cấp API AI / xử lý ảnh: để thực hiện hoán đổi khuôn mặt (ảnh có thể được truyền mã hóa qua HTTPS tới máy chủ xử lý);
• Lưu trữ đám mây: lưu ảnh kết quả, ảnh demo, backup (ví dụ Cloudflare R2 nếu được cấu hình);
• WooCommerce / cổng thanh toán: xử lý đơn hàng và credit;
• Hosting / CDN: vận hành website;
• Cơ quan nhà nước: khi có yêu cầu bằng văn bản hợp pháp.

Chúng tôi không bán dữ liệu cá nhân cho bên thứ ba vì mục đích marketing của họ.

8. Lưu trữ, thời hạn và địa điểm

• Ảnh đầu vào tạm thời: xử lý trong phiên và có thể lưu ngắn hạn trên máy chủ để hoàn tất yêu cầu; chúng tôi nỗ lực xóa sau khi xử lý xong trừ khi cần cho lịch sử hoặc điều tra sự cố.
• Ảnh kết quả / lịch sử: lưu trong tài khoản người dùng (user meta) tối đa theo cấu hình hệ thống (ví dụ 100 mục gần nhất); bạn có thể yêu cầu xóa qua hỗ trợ hoặc xóa tài khoản.
• Log kỹ thuật: thường 03–12 tháng trừ khi pháp luật yêu cầu lưu lâu hơn.
• Dữ liệu giao dịch: theo quy định kế toán, thuế (thường tối thiểu 05–10 năm nếu áp dụng).

Máy chủ hoặc dịch vụ lưu trữ có thể đặt tại Việt Nam hoặc nước ngoài tùy nhà cung cấp.

9. Biện pháp bảo mật

Chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức hợp lý, gồm: truyền tải HTTPS, phân quyền truy cập admin, mật khẩu băm, hạn chế quyền truy cập dữ liệu, sao lưu định kỳ (nếu cấu hình).

Không có hệ thống nào an toàn tuyệt đối. Chúng tôi không cam kết chống mọi rủi ro tấn công mạng; nếu xảy ra sự cố, sẽ thông báo trong phạm vi pháp luật yêu cầu.

11. Trẻ em và người chưa đủ năng lực

Dịch vụ không hướng tới người dưới 18 tuổi. Phụ huynh/người giám hộ có trách nhiệm giám sát nếu trẻ vị thành niên truy cập thiết bị của mình.

12. Chuyển dữ liệu ra nước ngoài

Khi sử dụng API AI, hosting hoặc lưu trữ đặt tại nước ngoài, dữ liệu (gồm ảnh) có thể được chuyển ra lãnh thổ khác. Chúng tôi thực hiện khi cần thiết cho hợp đồng với bạn và áp dụng biện pháp bảo vệ phù hợp (hợp đồng với bên xử lý, tiêu chuẩn bảo mật ngành).

13. Sự cố dữ liệu và khiếu nại

Nếu phát hiện rò rỉ hoặc sự cố an ninh dữ liệu ảnh hưởng đến bạn, Chủ web sẽ điều tra, khắc phục và thông báo theo quy định pháp luật về bảo vệ dữ liệu cá nhân.

Bạn có thể khiếu nại tới:

• Chủ web (email bên dưới); và/hoặc
• Cục An toàn thông tin (Bộ Thông tin và Truyền thông) hoặc cơ quan được giao quản lý bảo vệ dữ liệu cá nhân theo quy định hiện hành tại Việt Nam.

14. Thay đổi chính sách

Chúng tôi có thể cập nhật chính sách khi thay đổi pháp luật, công nghệ hoặc mô hình xử lý. Phiên bản mới có hiệu lực khi đăng tải trên trang này.

15. Liên hệ

Mọi yêu cầu về quyền dữ liệu cá nhân và thắc mắc bảo mật:

• Website: AiPicto
• Email: lienhelive@gmail.com

Cập nhật tên công ty, địa chỉ và email tại WordPress Admin → Face Swap → Cài đặt → Thông tin chủ thể & liên hệ pháp lý.