Vihostay
Đăng ký miễn phí

Chính sách bảo mật

Cập nhật lần cuối: 10/05/2026

Vihostay (“chúng tôi”) tôn trọng quyền riêng tư và cam kết bảo vệ dữ liệu cá nhân của Người dùng cũng như khách lưu trú mà Người dùng nhập vào hệ thống. Chính sách này mô tả những dữ liệu chúng tôi thu thập, mục đích, đối tác xử lý dữ liệu, thời gian lưu giữ và quyền của chủ thể dữ liệu theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

1. Phạm vi áp dụng

Chính sách áp dụng cho hai nhóm chủ thể dữ liệu:

  • Người dùng — chủ kinh doanh, quản lý, nhân viên đăng ký tài khoản và sử dụng phần mềm Vihostay.
  • Khách lưu trú— người được Người dùng nhập thông tin vào hệ thống để phục vụ vận hành booking, check-in, hóa đơn. Trong quan hệ này, Người dùng là “Bên kiểm soát dữ liệu” và Vihostay là “Bên xử lý dữ liệu” thay mặt Người dùng theo điều khoản dịch vụ.

2. Dữ liệu thu thập

2.1 Đối với Người dùng

  • Thông tin tài khoản: email, mật khẩu (đã hash), tên hiển thị, thông tin Google OAuth nếu chọn đăng nhập qua Google.
  • Thông tin cơ sở: tên property, slug, địa chỉ, số phòng, cấu hình dịch vụ.
  • Dữ liệu vận hành: booking, hóa đơn, thanh toán, báo cáo, log housekeeping/maintenance, audit log.
  • Dữ liệu kỹ thuật: IP, user agent, thời điểm truy cập, lỗi phát sinh.

2.2 Đối với khách lưu trú (do Người dùng nhập)

  • Họ tên, số điện thoại, email (nếu có), CCCD/Passport, quốc tịch, ngày sinh, địa chỉ.
  • Thông tin booking: ngày nhận/trả phòng, số khách, dịch vụ phát sinh, ghi chú.
  • Thông tin thanh toán: số tiền, phương thức, trạng thái cọc/thanh toán.

3. Mục đích sử dụng

  • Cung cấp và vận hành phần mềm theo đăng ký của Người dùng.
  • Xác thực, phân quyền (RBAC ba vai trò: owner / manager / staff) và bảo vệ tài khoản.
  • Gửi email giao dịch (xác nhận đặt phòng, đặt lại mật khẩu, thông báo hệ thống) qua đối tác email.
  • Tuân thủ các nghĩa vụ pháp lý (lưu trữ hóa đơn, kế toán, xử lý yêu cầu của cơ quan có thẩm quyền).

4. Cookie

Vihostay chỉ sử dụng cookie và localStorage thiết yếu để vận hành sản phẩm: cookie xác thực Supabase, lưu trạng thái đăng nhập. Không có cookie quảng cáo, không tracking bên thứ ba.

5. Bên thứ ba xử lý dữ liệu

  • Supabase — hạ tầng cơ sở dữ liệu, xác thực và lưu file. Dữ liệu lưu trên hạ tầng đám mây của Supabase.
  • Resend — gửi email giao dịch (xác nhận đặt phòng, đặt lại mật khẩu, thông báo hệ thống).
  • Google OAuth — xác thực bằng tài khoản Google nếu Người dùng chọn phương thức này.
  • Cổng thanh toán (sẽ bổ sung khi ra mắt gói trả phí như VNPay): xử lý giao dịch thanh toán subscription.

Vihostay chỉ chia sẻ dữ liệu trong phạm vi cần thiết để các đối tác cung cấp chức năng tương ứng và yêu cầu các đối tác đáp ứng tiêu chuẩn bảo mật phù hợp.

6. Lưu giữ dữ liệu

  • Dữ liệu tài khoản và dữ liệu vận hành được lưu trong suốt thời gian tài khoản còn hoạt động.
  • Khi Người dùng yêu cầu xóa tài khoản, dữ liệu cá nhân sẽ được xóa trong vòng 30 ngày, trừ các thông tin phải lưu giữ theo nghĩa vụ pháp luật (ví dụ chứng từ kế toán, thuế).
  • Log kỹ thuật phục vụ phát hiện lỗi và bảo mật được lưu tối đa 90 ngày.

7. Bảo mật

  • Mã hóa dữ liệu khi truyền (HTTPS/TLS).
  • Mật khẩu lưu dưới dạng hash; Vihostay không bao giờ thấy mật khẩu gốc.
  • Phân quyền nhiều lớp: RLS ở tầng cơ sở dữ liệu, server-side gate ở tầng ứng dụng, kiểm tra UI ở tầng client.
  • Sao lưu định kỳ. Người dùng được khuyến nghị xuất file dữ liệu quan trọng định kỳ qua các chức năng xuất sẵn có.

8. Quyền của chủ thể dữ liệu

Theo Nghị định 13/2023/NĐ-CP, chủ thể dữ liệu có các quyền:

  • Quyền được biết về việc xử lý dữ liệu cá nhân.
  • Quyền đồng ý hoặc rút lại đồng ý.
  • Quyền truy cập, chỉnh sửa dữ liệu cá nhân.
  • Quyền xóa dữ liệu cá nhân.
  • Quyền hạn chế hoặc phản đối việc xử lý dữ liệu.
  • Quyền yêu cầu cung cấp dữ liệu cá nhân (data portability).
  • Quyền khiếu nại, tố cáo, khởi kiện theo quy định pháp luật.

Để thực hiện các quyền trên, Người dùng có thể thao tác trực tiếp trong phần Cài đặt hoặc liên hệ với Vihostay qua kênh hỗ trợ. Khách lưu trú liên hệ trước với chính cơ sở (Người dùng) đã thu thập thông tin của mình; Vihostay sẽ phối hợp xử lý theo yêu cầu của Người dùng.

9. Trẻ em

Vihostay không nhắm đến đối tượng dưới 16 tuổi. Trường hợp Người dùng nhập thông tin khách lưu trú là trẻ em, Người dùng phải đảm bảo có sự đồng ý của cha mẹ/người giám hộ theo quy định pháp luật.

10. Thay đổi chính sách

Vihostay có thể cập nhật Chính sách bảo mật khi có thay đổi quan trọng. Phiên bản mới sẽ công bố tại trang này kèm ngày cập nhật. Với thay đổi ảnh hưởng lớn đến quyền của Người dùng, chúng tôi sẽ thông báo qua email hoặc trong ứng dụng.

11. Liên hệ

Mọi yêu cầu liên quan đến dữ liệu cá nhân (truy cập, chỉnh sửa, xóa, khiếu nại), vui lòng liên hệ qua kênh hỗ trợ tại trang Trợ giúp. Chúng tôi sẽ phản hồi trong thời hạn pháp luật quy định.