×
Trang chủ Dịch vụ Giá Hướng dẫn Về chúng tôi Chính sách Bảo mật Đăng nhập

Chính sách Bảo mật TGV (Tuân thủ GDPR EU)

Ngày có hiệu lực: 25 tháng 1, 2023

Phạm vi áp dụng: Chính sách bảo mật này áp dụng cho tất cả các dịch vụ proxy MTProto, trang web và ứng dụng khách của TGV (tgvpn.io). Đối với người dùng cư trú tại EU và truy cập dịch vụ của chúng tôi trong Liên minh Châu Âu, chúng tôi tuân thủ đầy đủ Quy định chung về bảo vệ dữ liệu của EU (GDPR) (Quy định (EU) 2016/679) để bảo vệ quyền riêng tư của người dùng và các quyền dữ liệu hợp pháp.

1. Thông tin về Bên kiểm soát dữ liệu (Công bố bắt buộc theo GDPR)

Là bên kiểm soát dữ liệu, TGV công bố các thông tin sau để giúp người dùng thực hiện quyền GDPR của mình:

  • Bên kiểm soát dữ liệu: Dịch vụ VPN TGV
  • Địa chỉ đã đăng ký: Dublin, Ireland (EU). Địa chỉ chi tiết có sẵn theo yêu cầu qua email bảo mật.
  • Nhân viên bảo vệ dữ liệu (DPO): Liên hệ qua email bảo mật chuyên dụng: privacy@tgvpn.io
  • Cơ quan giám sát EU: Ủy ban Bảo vệ Dữ liệu (DPC), Ireland. Kênh khiếu nại chính thức: https://www.dataprotection.ie
  • Liên hệ: Đối với các câu hỏi về quyền riêng tư, yêu cầu quyền dữ liệu và khiếu nại, vui lòng gửi email đến privacy@tgvpn.io. Chúng tôi sẽ trả lời miễn phí trong vòng 30 ngày theo yêu cầu của GDPR.

2. Các nguyên tắc tuân thủ GDPR cốt lõi (Điều 5)

TGV tuân thủ nghiêm ngặt bảy nguyên tắc cốt lõi theo Điều 5 GDPR. Tất cả các hoạt động xử lý dữ liệu tuân thủ đầy đủ các tiêu chuẩn sau:

  • Tính hợp pháp, Công bằng và Minh bạch: Mọi hoạt động xử lý dữ liệu đều có cơ sở pháp lý rõ ràng. Chúng tôi công bố đầy đủ mục đích, phạm vi và phương pháp xử lý mà không che giấu hoặc tuyên bố gây hiểu lầm.
  • Giới hạn mục đích: Dữ liệu chỉ được xử lý cho các mục đích rõ ràng bao gồm cung cấp dịch vụ, quản lý tài khoản, bảo vệ an ninh và khắc phục sự cố. Không cho phép sử dụng không liên quan.
  • Tối thiểu hóa dữ liệu: Chúng tôi chỉ thu thập dữ liệu tối thiểu cần thiết để cung cấp dịch vụ. Không thu thập bất kỳ dữ liệu cá nhân hoặc nhạy cảm không cần thiết nào.
  • Tính chính xác: Dữ liệu người dùng được cập nhật thường xuyên với các kênh chỉnh sửa có thể truy cập để đảm bảo tính đầy đủ và chính xác.
  • Giới hạn lưu trữ: Dữ liệu chỉ được lưu giữ trong thời gian ngắn nhất cần thiết và bị xóa vĩnh viễn khi không còn cần thiết.
  • Tính toàn vẹn và Bảo mật: Các biện pháp mã hóa và kiểm soát truy cập được thực hiện để ngăn chặn rò rỉ, giả mạo và lạm dụng dữ liệu.
  • Trách nhiệm giải trình: Chúng tôi duy trì hồ sơ xử lý đầy đủ để chứng minh việc tuân thủ GDPR và chấp nhận kiểm toán theo quy định.

3. Dữ liệu cá nhân được thu thập (Chi tiết cụ thể theo lĩnh vực)

3.1 Dữ liệu dịch vụ thiết yếu (Thu thập tối thiểu)

Để cung cấp dịch vụ proxy MTProto, chúng tôi chỉ thu thập dữ liệu thiết yếu sau đây mà không thu thập thừa:

  • Siêu dữ liệu kết nối: Bản ghi tạm thời về IP máy chủ, dấu thời gian kết nối, thời gian ngắt kết nối và lưu lượng sử dụng để giám sát độ ổn định và khắc phục sự cố. IP người dùng thực, nội dung duyệt web và dữ liệu trò chuyện Telegram không bao giờ được ghi lại.
  • Thông tin thiết bị: Kiểu thiết bị, phiên bản hệ thống và phiên bản ứng dụng khách để điều chỉnh dịch vụ và tối ưu hóa kết nối.
  • Dữ liệu tài khoản (Chỉ dành cho người dùng trả phí): Email đã đăng ký, ID đơn hàng và trạng thái thanh toán. Thông tin thanh toán đầy đủ được xử lý hoàn toàn bởi nhà cung cấp thanh toán bên thứ ba và không bao giờ được lưu trữ bởi TGV.

3.2 Dữ liệu chúng tôi không bao giờ thu thập (Đường đỏ GDPR)

Để tối đa hóa bảo vệ quyền riêng tư của người dùng, TGV nghiêm cấm thu thập các dữ liệu sau để loại bỏ rủi ro rò rỉ:

  • Địa chỉ IP thực của người dùng và dữ liệu vị trí địa lý;
  • Chi tiết tài khoản Telegram, lịch sử trò chuyện, danh bạ và nhật ký cuộc gọi;
  • Dữ liệu ứng dụng của bên thứ ba, hồ sơ duyệt web và thông tin nhận dạng do chính phủ cấp;
  • Không có SDK phân tích hoặc quảng cáo của bên thứ ba. Theo dõi hành vi người dùng bị vô hiệu hóa hoàn toàn.

4. Cơ sở pháp lý cho xử lý dữ liệu (Điều 6 GDPR)

  • Thực hiện hợp đồng (Điều 6(1)(b)): Xử lý dữ liệu là cần thiết để cung cấp dịch vụ proxy MTProto, xử lý đơn hàng và quản lý tài khoản người dùng cho việc thực hiện hợp đồng.
  • Lợi ích hợp pháp (Điều 6(1)(f)): Xử lý để ngăn chặn gian lận, giảm thiểu tấn công mạng và ổn định dịch vụ. Đánh giá lợi ích hợp pháp (LIA) đã được hoàn thành để đảm bảo không xung đột với các quyền cơ bản của người dùng.
  • Nghĩa vụ pháp lý (Điều 6(1)(c)): Việc tiết lộ dữ liệu có thể được yêu cầu để tuân thủ các nghĩa vụ pháp lý và yêu cầu thực thi pháp luật hợp lệ.
  • Sự đồng ý rõ ràng (Điều 6(1)(a)): Xử lý dữ liệu không thiết yếu sẽ chỉ xảy ra khi có sự đồng ý tự nguyện, cụ thể và có thể rút lại của người dùng. Các thông tin tiếp thị bị vô hiệu hóa theo mặc định.

5. Lưu trữ dữ liệu và truyền tải qua biên giới (Tuân thủ GDPR)

5.1 Thời gian lưu trữ

  • Siêu dữ liệu kết nối: Được lưu giữ tạm thời trong 72 giờ để khắc phục sự cố, sau đó bị xóa vĩnh viễn mà không có bản sao lưu.
  • Dữ liệu tài khoản (Người dùng trả phí): Được lưu giữ trong 30 ngày sau khi hủy tài khoản để đối chiếu tài chính và hỗ trợ sau bán hàng, sau đó bị xóa hoàn toàn.
  • Dữ liệu theo yêu cầu pháp lý: Được lưu giữ trong thời gian tối thiểu theo yêu cầu của luật EU và luật địa phương.

5.2 Vị trí lưu trữ và truyền tải qua biên giới

  • Lưu trữ dữ liệu: Tất cả dữ liệu người dùng được lưu trữ trên các máy chủ đặt tại Liên minh Châu Âu (ví dụ: AWS Frankfurt). Không có dữ liệu nào được lưu trữ bên ngoài phạm vi lãnh thổ EU.
  • Truyền tải qua biên giới: Nghiêm cấm chuyển sang các khu vực không thuộc EU trừ khi bắt buộc cho hoạt động của dịch vụ. Các điều khoản hợp đồng tiêu chuẩn (SCC) và Đánh giá tác động truyền tải (TIA) sẽ được thực hiện cho bất kỳ luồng dữ liệu xuyên biên giới cần thiết nào.

6. Quyền dữ liệu của người dùng (Điều 12-23 GDPR)

  • Quyền truy cập: Yêu cầu bản sao dữ liệu cá nhân của bạn và chi tiết đầy đủ về các hoạt động xử lý.
  • Quyền sửa đổi: Yêu cầu sửa chữa hoặc bổ sung dữ liệu cá nhân không chính xác hoặc không đầy đủ.
  • Quyền xóa (Quyền được lãng quên): Yêu cầu xóa vĩnh viễn dữ liệu của bạn khi dữ liệu không còn cần thiết, sự đồng ý bị rút lại hoặc việc xử lý bất hợp pháp.
  • Quyền hạn chế xử lý: Tạm dừng xử lý dữ liệu trong thời gian giải quyết tranh chấp về tính chính xác của dữ liệu hoặc tính hợp pháp của việc xử lý.
  • Quyền di chuyển dữ liệu: Xuất dữ liệu cá nhân của bạn ở định dạng CSV/JSON để chuyển sang bên kiểm soát dữ liệu khác.
  • Quyền phản đối: Phản đối việc xử lý dựa trên lợi ích hợp pháp, bao gồm cả các hoạt động tiếp thị trực tiếp.
  • Quyền rút lại sự đồng ý: Rút lại sự đồng ý đã cấp trước đó bất kỳ lúc nào mà không ảnh hưởng đến tính hợp pháp của việc xử lý trước đó.
  • Quyền khiếu nại: Gửi khiếu nại đến cơ quan bảo vệ dữ liệu EU (ví dụ: DPC Ireland) về các vi phạm GDPR.

7. Các biện pháp an ninh dữ liệu (Điều 32 GDPR)

  • Mã hóa truyền tải: Mã hóa đầu cuối TLS 1.3 cho tất cả các liên lạc dịch vụ để ngăn chặn đánh chặn và giả mạo.
  • Mã hóa lưu trữ: Mã hóa AES-256 cho tất cả dữ liệu người dùng được lưu trữ để bảo vệ khỏi truy cập trái phép.
  • Kiểm soát truy cập: Quản lý quyền dựa trên vai trò với nhật ký kiểm toán đầy đủ cho tất cả các hoạt động truy cập dữ liệu.
  • Kiểm tra bảo mật: Quét lỗ hổng định kỳ, kiểm tra thâm nhập và đánh giá bảo mật để giảm thiểu rủi ro.
  • Thông báo vi phạm dữ liệu: Người dùng bị ảnh hưởng và cơ quan quản lý EU sẽ được thông báo trong vòng 72 giờ nếu có xác nhận vi phạm dữ liệu.
  • Đào tạo nhân viên: Đào tạo thường xuyên về GDPR và an ninh dữ liệu cho tất cả nhân viên để thực thi các nghĩa vụ bảo mật.

8. Chia sẻ dữ liệu với bên thứ ba (Bị hạn chế nghiêm ngặt)

  • Nhà cung cấp thanh toán: Chỉ chia sẻ ID đơn hàng, số tiền giao dịch và trạng thái thanh toán để hoàn tất xử lý thanh toán. Chi tiết thanh toán nhạy cảm được quản lý hoàn toàn bởi nhà cung cấp bên thứ ba.
  • Nhà cung cấp cơ sở hạ tầng đám mây: Chỉ dữ liệu hoạt động không phải của người dùng được chia sẻ để bảo trì máy chủ. Ưu tiên nhà cung cấp có trụ sở tại EU.
  • Thực thi pháp luật: Tiết lộ dữ liệu tối thiểu chỉ để đáp ứng các lệnh hợp pháp hợp lệ. Tất cả các yêu cầu đều được xem xét về mặt pháp lý trước khi tiết lộ.

Chúng tôi không bao giờ bán, trao đổi hoặc tiết lộ dữ liệu cá nhân của người dùng cho các bên thứ ba trái phép vì mục đích thương mại.

9. Bảo vệ trẻ vị thành niên (Điều 8 GDPR)

  • Chúng tôi không cố ý thu thập dữ liệu cá nhân từ trẻ vị thành niên. Dữ liệu liên quan đến trẻ vị thành niên sẽ bị xóa ngay lập tức khi phát hiện sử dụng trái phép.
  • Người giám hộ hợp pháp có thể liên hệ với nhóm bảo mật của chúng tôi để yêu cầu xóa dữ liệu người dùng là trẻ vị thành niên với sự xác minh hợp lệ.

10. Cập nhật và thông báo chính sách

  • Chính sách bảo mật này có thể được sửa đổi để phản ánh các cập nhật theo quy định hoặc điều chỉnh dịch vụ. Những thay đổi quan trọng sẽ được công bố qua thông báo trên trang web và email người dùng ít nhất 30 ngày trước khi có hiệu lực.
  • Tiếp tục sử dụng dịch vụ proxy MTProto TGV đồng nghĩa với việc chấp nhận các điều khoản chính sách đã cập nhật.
  • Các phiên bản chính sách lịch sử được lưu giữ và cung cấp theo yêu cầu qua email.

11. Thông tin liên hệ

  • Yêu cầu về quyền riêng tư và quyền dữ liệu: privacy@tgvpn.io
  • Hỗ trợ khách hàng: support@tgvpn.io
  • Địa chỉ đã đăng ký: Dublin, Ireland (EU)
  • Khiếu nại theo quy định: Ủy ban Bảo vệ Dữ liệu (DPC) - Ireland: https://www.dataprotection.ie
Chính sách Bảo mật Hướng dẫn Người dùng Gói Dịch vụ Về chúng tôi