Chính sách bảo mật
Cam kết bảo vệ quyền riêng tư và dữ liệu cá nhân của bạn theo tiêu chuẩn cao nhất.
EconLab ("Nền tảng") cam kết bảo vệ quyền riêng tư của người dùng. Chính sách này mô tả cách chúng tôi thu thập, sử dụng, lưu trữ và bảo vệ thông tin cá nhân của bạn, phù hợp với Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân của Việt Nam và Quy định chung về bảo vệ dữ liệu (GDPR) của Liên minh Châu Âu.
1Thông tin chúng tôi thu thập
Thông tin tài khoản: Email, họ tên đầy đủ, mật khẩu (được mã hóa băm bằng bcrypt + SHA-256 pre-hash) khi bạn đăng ký.
API Keys bên thứ ba: Khi bạn cung cấp API keys của các nhà cung cấp AI (DeepSeek, OpenAI, Google Gemini, OpenRouter, Perplexity), chúng được lưu trữ được mã hóa bằng Fernet AES-128-CBC + HMAC-SHA256.
Dữ liệu nghiên cứu tải lên: Các tệp dữ liệu bạn tải lên được mã hóa tại chỗ (at rest) trong Redis. Chế độ Ephemeral tự động xóa sau 5 phút.
Dữ liệu sử dụng: Thống kê token usage per-provider, lịch sử phiên đăng nhập, nhật ký hoạt động nghiên cứu.
Thông tin thanh toán: Khi mua gói thành viên, thông tin giao dịch được xử lý qua SePay và lưu trữ bao gồm mã đơn hàng, số tiền, phương thức và trạng thái.
2Mục đích sử dụng
Chúng tôi sử dụng thông tin của bạn để:
- ●Cung cấp các dịch vụ nghiên cứu: khởi tạo ý tưởng, lược khảo tài liệu, thu thập dữ liệu, phân tích mô hình kinh tế lượng và xuất báo cáo học thuật.
- ●Chuyển tiếp truy vấn đến các nhà cung cấp AI bên thứ ba theo lựa chọn mô hình của bạn.
- ●Quản lý tài khoản, xác thực và phân quyền truy cập.
- ●Xử lý thanh toán và quản lý gói thành viên.
- ●Cải thiện chất lượng dịch vụ và trải nghiệm người dùng.
- ●Phát hiện và ngăn chặn các hành vi lạm dụng hoặc vi phạm bảo mật.
3Biện pháp bảo mật
Chúng tôi áp dụng nhiều lớp bảo mật:
- ●Mã hóa dữ liệu: Fernet AES-128-CBC + HMAC-SHA256 cho dữ liệu tải lên và API keys. Mật khẩu được băm bằng bcrypt.
- ●Xác thực JWT: Access token + refresh token rotation với token hashing trong database.
- ●Rate limiting: Giới hạn tần suất truy cập API theo endpoint (Redis token bucket) để ngăn chặn lạm dụng.
- ●CORS whitelist: Chỉ chấp nhận request từ các origin được phê duyệt.
- ●Sandbox execution: Môi trường thực thi Python bị giới hạn với AST-based import whitelist.
- ●Circuit breaker: Tự động ngắt kết nối đến provider khi phát hiện lỗi liên tiếp.
- ●Giới hạn kích thước request: Từ chối các request không phải upload trên 1MB.
4Chia sẻ với bên thứ ba
Chúng tôi chỉ chia sẻ dữ liệu với bên thứ ba khi cần thiết để cung cấp dịch vụ:
- ●Nhà cung cấp AI: DeepSeek, OpenAI, Google Gemini, OpenRouter, Perplexity — nhận nội dung truy vấn nghiên cứu của bạn để xử lý. Dữ liệu được gửi theo chính sách bảo mật riêng của từng nhà cung cấp.
- ●Nguồn dữ liệu học thuật: Semantic Scholar, ArXiv — nhận từ khóa tìm kiếm để phục vụ lược khảo tài liệu.
- ●Cổng thanh toán: SePay — xử lý giao dịch mua gói thành viên.
- ●Nguồn dữ liệu kinh tế: EcoData Hub, World Bank, IMF, FRED — nhận yêu cầu truy vấn dữ liệu kinh tế.
Chúng tôi không bán thông tin cá nhân cho bất kỳ bên thứ ba nào.
5Quyền của người dùng
Theo Nghị định 13/2023/NĐ-CP và GDPR, bạn có quyền:
- ●Truy cập: Xem thông tin cá nhân đã thu thập tại Settings → Profile.
- ●Chỉnh sửa: Cập nhật họ tên, thay đổi mật khẩu.
- ●Xóa: Yêu cầu xóa toàn bộ dữ liệu cá nhân (xem trang Xóa dữ liệu).
- ●Rút đồng ý: Ngừng sử dụng dịch vụ và yêu cầu xóa tài khoản bất kỳ lúc nào.
- ●Di chuyển dữ liệu: Yêu cầu xuất dữ liệu nghiên cứu ở định dạng mở.
- ●Phản đối: Phản đối việc xử lý dữ liệu cho mục đích cụ thể.
6Lưu trữ và thời hạn
- ●Dữ liệu tài khoản được lưu trữ cho đến khi bạn yêu cầu xóa.
- ●Dữ liệu upload ở chế độ Ephemeral tự động xóa sau 5 phút; chế độ thường xóa sau khi phiên kết thúc.
- ●Token usage logs được lưu trong suốt thời gian tài khoản hoạt động.
- ●Dữ liệu thanh toán được lưu trữ theo quy định pháp luật Việt Nam (tối thiểu 10 năm cho hồ sơ kế toán).
- ●Dữ liệu được lưu trữ trên máy chủ tại Việt Nam.
7Liên hệ
Nếu bạn có câu hỏi về chính sách bảo mật hoặc muốn thực hiện quyền của mình, vui lòng liên hệ:
- ●Email: lienhetns@gmail.com
- ●Website: https://ecolab.io.vn