Thoả thuận xử lý dữ liệu cá nhân (DPA)
Áp dụng cho khách hàng doanh nghiệp dùng vne.email để xử lý dữ liệu cá nhân của nhân viên và đối tác của mình. Thoả thuận này xác định vai trò, nghĩa vụ và biện pháp bảo vệ dữ liệu giữa các bên theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.
Cập nhật lần cuối: 16/06/2026
Dịch vụ vne.email được vận hành bởi CÔNG TY TNHH THƯƠNG MẠI VÀ DỊCH VỤ TRIPLES (MST 0316579552) — địa chỉ 201 Nguyễn Văn Lượng, Phường Gò Vấp, TP. Hồ Chí Minh; sau đây gọi là “TRIPLES” hoặc “Bên Xử lý”. Thoả thuận xử lý dữ liệu này (“DPA”) bổ sung và là một phần không tách rời của Điều khoản dịch vụ, áp dụng khi Khách hàng là doanh nghiệp sử dụng vne.email để xử lý dữ liệu cá nhân của bên thứ ba (nhân viên, khách hàng, đối tác của Khách hàng).
1. Vai trò của các bên
Theo Nghị định 13/2023/NĐ-CP (“NĐ13”):
- Khách hàng = Bên Kiểm soát dữ liệu cá nhân: quyết định mục đích và phương tiện xử lý dữ liệu cá nhân của người dùng hộp thư và đối tác của mình.
- TRIPLES = Bên Xử lý dữ liệu cá nhân: chỉ xử lý dữ liệu thay mặt và theo chỉ dẫn hợp pháp của Khách hàng nhằm cung cấp dịch vụ email/Drive, không sử dụng cho mục đích riêng.
- Chủ thể dữ liệu: người dùng hộp thư của Khách hàng và các cá nhân trao đổi thư với họ.
Đối với dữ liệu cá nhân của chính Khách hàng (người đăng ký: họ tên, email, điện thoại, MST), TRIPLES là Bên Kiểm soát và áp dụng Chính sách quyền riêng tư.
2. Phạm vi & loại dữ liệu xử lý
| Nhóm dữ liệu | Mục đích xử lý |
|---|---|
| Danh tính & liên hệ (họ tên, địa chỉ email, tên hiển thị) | Tạo và quản lý hộp thư người dùng |
| Nội dung thư & tệp đính kèm; tệp lưu trên Drive | Lưu trữ, gửi/nhận, chia sẻ theo thao tác của người dùng |
| Metadata gửi/nhận (thời gian, người gửi/nhận, kích thước) | Định tuyến thư, chống spam/giả mạo, hỗ trợ kỹ thuật |
| Log truy cập kỹ thuật (IP, User-Agent, thời gian) | Bảo mật, điều tra sự cố (giữ 90 ngày) |
3. Mục đích & thời hạn xử lý
TRIPLES chỉ xử lý dữ liệu cá nhân nhằm cung cấp và vận hành dịch vụ email/Drive theo tên miền của Khách hàng, lọc spam/malware/phishing tự động (qua Rspamd nội bộ — không bên thứ ba nào thấy nội dung thư) và hỗ trợ kỹ thuật. Thời hạn xử lý kéo dài trong suốt thời gian hợp đồng dịch vụ; sau khi chấm dứt, dữ liệu được xử lý theo mục 8 dưới đây.
4. Nhà xử lý phụ (sub-processors)
TRIPLES sử dụng một số nhà xử lý phụ giới hạn cho các chức năng hạ tầng. Các đối tác này không được tiếp cận nội dung thư của Khách hàng trừ khi nêu rõ dưới đây:
| Đối tác | Chức năng | Địa điểm |
|---|---|---|
| FPT Telecom | Trung tâm dữ liệu, hạ tầng máy chủ (bản chính) | Việt Nam |
| Backblaze B2 | Sao lưu phụ đã mã hoá (đề phòng thảm hoạ) | Hoa Kỳ |
| Casso.vn / Sepay | Đối soát chuyển khoản ngân hàng (chỉ nội dung giao dịch) | Việt Nam |
TRIPLES sẽ thông báo cho Khách hàng trước ít nhất 30 ngày khi bổ sung hoặc thay thế nhà xử lý phụ, để Khách hàng có quyền phản đối bằng văn bản.
5. Biện pháp bảo mật
- Cô lập dữ liệu giữa các tổ chức ở tầng cơ sở dữ liệu (PostgreSQL Row-Level Security theo tenant).
- Mã hoá nội dung thư khi nghỉ; bắt buộc TLS 1.2+ cho mọi giao thức (IMAP, SMTP, HTTPS).
- Mật khẩu lưu dạng hash Argon2id (không thể đảo ngược).
- Sao lưu hằng đêm, mã hoá ở mức khối (restic + Age), kèm RAID và khôi phục cục bộ.
- DKIM + DMARC ký mọi thư gửi đi để chống giả mạo; fail2ban chặn truy cập trái phép (SSH, SMTP, IMAP).
- Đội vận hành chỉ truy cập dữ liệu khi cần điều tra sự cố; mọi truy cập đều ghi log audit không thể sửa.
6. Chuyển dữ liệu ra nước ngoài
Toàn bộ dữ liệu bản chính của người dùng được lưu trong nước (trung tâm dữ liệu tại Việt Nam), tuân thủ Nghị định 53/2022/NĐ-CP. Chỉ sao lưu phụ đã được mã hoá đầu-cuối mới đặt ngoài Việt Nam (Backblaze B2, Hoa Kỳ), với khoá Age riêng do vne.email quản lý. TRIPLES duy trì đánh giá tác động chuyển dữ liệu cá nhân ra nước ngoài theo NĐ13 cho phần sao lưu này.
7. Vi phạm & thông báo
Khi phát hiện vi phạm bảo vệ dữ liệu cá nhân, TRIPLES sẽ thông báo cho Khách hàng không chậm trễ, trong vòng 72 giờ kể từ khi xác nhận vi phạm, kèm thông tin về phạm vi và biện pháp khắc phục; đồng thời hỗ trợ Khách hàng thực hiện nghĩa vụ thông báo cho cơ quan có thẩm quyền (Bộ Công an — A05) theo NĐ13.
8. Quyền của chủ thể dữ liệu & hỗ trợ Bên Kiểm soát
TRIPLES hỗ trợ Khách hàng đáp ứng yêu cầu của chủ thể dữ liệu theo NĐ13 (truy cập, chỉnh sửa, xoá, hạn chế xử lý, chuyển dữ liệu) — bao gồm xuất thư theo định dạng MBOX/EML chuẩn để chuyển đổi. Yêu cầu hỗ trợ gửi đến privacy@vne.email.
9. Bảo mật nhân sự, kiểm toán & hợp tác
- Nhân sự tiếp cận dữ liệu chịu nghĩa vụ bảo mật.
- Khách hàng có quyền yêu cầu bằng chứng tuân thủ hợp lý hoặc kiểm toán theo thoả thuận trước.
- TRIPLES chỉ cung cấp dữ liệu cho cơ quan nhà nước khi có yêu cầu bằng văn bản đúng quy trình pháp luật, và thông báo cho Khách hàng trừ khi luật cấm.
10. Xoá hoặc trả lại dữ liệu khi chấm dứt
Khi chấm dứt dịch vụ, dữ liệu được giữ 30 ngày để khôi phục; trong giai đoạn này Khách hàng có thể tự tải về toàn bộ thư dưới định dạng MBOX/EML. Sau đó dữ liệu được xoá vĩnh viễn khỏi hệ thống vận hành, và xoá khỏi sao lưu trong chu kỳ lưu sao lưu (90 ngày).
11. Hiệu lực, sửa đổi & liên hệ
Khi có thay đổi đáng kể với DPA này, TRIPLES thông báo qua email ít nhất 30 ngày trước khi có hiệu lực. Mọi vấn đề liên quan đến DPA, liên hệ legal@vne.email hoặc privacy@vne.email. Thoả thuận này được điều chỉnh bởi pháp luật Việt Nam, phù hợp với mục 9 Điều khoản dịch vụ.