Chính sách bảo mật

Vexim Trade cam kết bảo vệ dữ liệu cá nhân và dữ liệu kinh doanh của khách hàng. Chính sách này mô tả những loại dữ liệu chúng tôi thu thập khi bạn sử dụng nền tảng tại veximtrade.com, cách chúng tôi sử dụng dữ liệu đó, đối tác mà chúng tôi chia sẻ dữ liệu, thời gian lưu trữ và quyền của bạn.

Đơn vị kiểm soát dữ liệu (Data Controller) là Vexim Trade JSC, địa chỉ: Tòa The Wisteria Hinode, Khu đô thị Hinode Royal Park Kim Chung Di Trạch, Kim Chung, Hoài Đức, Hà Nội.

2.1 Bạn cung cấp trực tiếp

• Thông tin tài khoản: email, họ tên, số điện thoại, mật khẩu băm bcrypt (do Supabase Auth quản lý).
• Thông tin doanh nghiệp: tên công ty, địa chỉ, ngành nghề, ngôn ngữ ưu tiên (vi/en).
• Hồ sơ FDA: Registration Number, ngày đăng ký, ngày hết hạn — được lưu trong bảng profiles.
• Tài liệu tuân thủ: chứng nhận FDA, COA, video xưởng, ảnh xưởng, bảng giá sàn — lưu trên Vercel Blob private storage.
• Thông tin sản phẩm: tên, danh mục, công suất, giá vốn, giá bán đề xuất.
• Hợp đồng tài chính: setup fee, retainer, success fee %, tỉ lệ retainer credit.

2.2 Sinh ra trong quá trình sử dụng

• Lead/buyer mà Vexim Trade nghiên cứu thay mặt bạn (có thể được làm giàu bằng Apollo).
• Email outreach do AI (Vercel AI Gateway) tạo, được bạn hoặc Vexim Trade phê duyệt trước khi gửi qua Resend.
• Phản hồi của buyer được phân loại tự động (intent: price_request, sample_request, objection, closing_signal, general).
• Hóa đơn (setup_fee, retainer, success_fee, manual) cùng tài liệu PO, SWIFT, B/L.
• Lịch sử pipeline (stage_transitions) — append-only audit log.
• Activity log: ai làm gì, khi nào, trên opportunity nào.
• Notification: in-app + email log với dedup_key idempotent.

2.3 Dữ liệu kỹ thuật tự động

• Cookie phiên làm việc do Supabase Auth phát hành để duy trì session SSR.
• Địa chỉ IP, user agent, timestamp request — phục vụ phát hiện gian lận và debug.
• Số liệu sử dụng ẩn danh từ Vercel Analytics (chỉ chạy ở môi trường production).

Cung cấp dịch vụ

Vận hành pipeline kinh doanh, tạo hóa đơn, xác thực SWIFT, theo dõi FDA.

Hỗ trợ AI

Soạn email outreach và phân loại email phản hồi qua Vercel AI Gateway. Nội dung email không được dùng để huấn luyện mô hình bên ngoài.

Bảo mật & gian lận

Phát hiện đăng nhập bất thường, audit log thay đổi quan trọng, cảnh báo SoD vi phạm.

Tuân thủ pháp lý

Lưu hồ sơ kế toán, ghi chú giao dịch SWIFT, hồ sơ FDA — phục vụ kiểm toán và pháp lý.

Truyền thông

Email giao dịch (hóa đơn, mời, nhắc nhở, weekly report, monthly digest). Bạn có thể tắt từng loại tại /settings/notifications hoặc một-cú-nhấp tại link unsubscribe.

Chúng tôi xử lý dữ liệu cá nhân dựa trên các cơ sở pháp lý sau (tham chiếu khái niệm GDPR/PDPA cho khách hàng EU/SEA):

• Thực hiện hợp đồng — phần lớn xử lý dữ liệu là cần thiết để cung cấp Dịch vụ theo Điều khoản dịch vụ.
• Lợi ích hợp pháp — tìm kiếm buyer, phát hiện gian lận, cải tiến sản phẩm.
• Đồng ý — với email marketing không bắt buộc; bạn có thể rút lại đồng ý bất kỳ lúc nào.
• Nghĩa vụ pháp lý — lưu hồ sơ thuế, kế toán, hóa đơn theo luật Việt Nam.

Vexim Trade sử dụng các nhà cung cấp dịch vụ (sub-processor) sau, mỗi đối tác chỉ truy cập dữ liệu ở mức tối thiểu cần thiết:

Supabase

Cơ sở dữ liệu PostgreSQL + Authentication + Realtime. Khu vực: tuỳ chọn của Vexim Trade. Mọi truy vấn đều đi qua Row Level Security (RLS).

Vercel

Hosting Next.js (App Router), Vercel Blob private storage cho tài liệu, Vercel AI Gateway cho LLM, Vercel Cron cho job định kỳ, Vercel Analytics ẩn danh.

Resend

Gửi email giao dịch (mời, hóa đơn, nhắc nhở).

Apollo

Làm giàu dữ liệu lead (B2B firmographic). Dữ liệu trả về được lưu trong cột enriched_data.

Vercel AI Gateway providers

Các mô hình LLM (OpenAI, Anthropic, Google) được gọi không lưu trữ — chúng tôi không cho phép sử dụng dữ liệu của bạn để huấn luyện mô hình của họ.

Chúng tôi không bán, cho thuê, hay trao đổi dữ liệu cá nhân của bạn cho bên thứ ba ngoài các sub-processor cần thiết để cung cấp Dịch vụ.

• Trên đường truyền: TLS 1.2+ cho mọi kết nối tới website, API và database.
• Tại nghỉ: Supabase mã hoá database AES-256; Vercel Blob mã hoá object tại nghỉ.
• Phân quyền cấp hàng (RLS): mọi bảng nhạy cảm đều có policy RLS — admin client (service role) chỉ dùng cho server actions có kiểm soát.
• Mật khẩu: không bao giờ lưu plain-text. Supabase Auth dùng bcrypt với salt riêng từng user.
• Token public link (hóa đơn, share doc, unsubscribe): sinh bằng crypto-random, single-purpose, có thể revoke.
• Buyer PII mask: vai trò lead_researcher chỉ thấy email/phone đã che (mask) — áp dụng ở tầng UI và một phần ở DB.

Tài khoản & profile

Lưu trong suốt thời gian hợp đồng + 12 tháng sau khi chấm dứt (cho mục đích pháp lý).

Hóa đơn & hồ sơ tài chính

Lưu tối thiểu 10 năm theo luật kế toán Việt Nam.

SWIFT, PO, B/L

Lưu tối thiểu 10 năm.

Activity log & stage transitions

Lưu tối thiểu 5 năm để phục vụ kiểm toán và phân tích.

Email log (notification_email_log)

Lưu 24 tháng để xử lý khiếu nại không nhận được email.

Dữ liệu Vercel Analytics

Ẩn danh, lưu theo chính sách của Vercel.

Vì bản chất nghiệp vụ là xuất khẩu Việt – Mỹ, dữ liệu của bạn sẽ được xử lý qua các trung tâm dữ liệu của Supabase, Vercel và các sub-processor đặt tại Hoa Kỳ và châu Âu. Chúng tôi áp dụng Standard Contractual Clauses (SCCs) hoặc cơ chế tương đương khi pháp luật yêu cầu.

• Phân quyền tối thiểu (least privilege) — capability matrix 7 vai trò.
• Tách biệt trách nhiệm (Segregation of Duties) — SWIFT verifier ≠ uploader, AE không sửa cost_price.
• Compliance gate — opportunity không thể vượt sample_requested nếu FDA hết hạn.
• Audit log append-only cho mọi thay đổi quan trọng (stage transitions, role changes).
• Cron job có Vercel Cron secret xác thực (CRON_SECRET).
• Email mời và token public link đều single-use hoặc có thể revoke.
• Service role key chỉ dùng phía server, không bao giờ lộ ra client.
• Backup tự động của Supabase + khả năng restore point-in-time.

Tuỳ thuộc vào pháp luật áp dụng, bạn có các quyền sau:

• Truy cập — yêu cầu bản sao dữ liệu của bạn.
• Cập nhật — sửa dữ liệu sai/lỗi qua UI hoặc gửi yêu cầu.
• Xoá — yêu cầu xoá vĩnh viễn (trừ phần bắt buộc lưu theo luật kế toán).
• Hạn chế xử lý — tạm dừng một số hoạt động xử lý.
• Phản đối — phản đối xử lý dựa trên lợi ích hợp pháp.
• Di chuyển dữ liệu — xuất CSV danh sách clients, opportunities, invoices.
• Rút lại đồng ý — tắt từng kênh tại /settings/notifications hoặc một-cú-nhấp qua link unsubscribe trong email.

Để thực hiện, gửi email tới hello@veximtrade.com. Chúng tôi sẽ phản hồi trong vòng 30 ngày.

Dịch vụ dành cho doanh nghiệp B2B. Chúng tôi không cố ý thu thập dữ liệu của người dưới 16 tuổi. Nếu bạn cho rằng chúng tôi đã thu thập nhầm dữ liệu trẻ em, vui lòng liên hệ để xoá ngay lập tức.

Trong trường hợp xảy ra sự cố bảo mật làm lộ dữ liệu cá nhân của bạn, chúng tôi sẽ thông báo qua email trong vòng 72 giờ kể từ khi phát hiện, kèm mô tả phạm vi ảnh hưởng và biện pháp khắc phục.

Chúng tôi có thể cập nhật Chính sách này theo thời gian. Phiên bản hiện hành được công bố tại URL này với ngày "hiệu lực từ" ở đầu trang. Thay đổi quan trọng được thông báo qua email trước ít nhất 14 ngày.

Vexim Trade JSC
Phụ trách dữ liệu (Data Protection): hello@veximtrade.com
Hỗ trợ chung: support@veximtrade.com
Tòa The Wisteria Hinode, Khu đô thị Hinode Royal Park Kim Chung Di Trạch, Kim Chung, Hoài Đức, Hà Nội