Chính Sách Bảo Mật | DauTuTaiSanMaHoa.com

DauTuTaiSanMaHoa.com (sau đây gọi là "Chúng tôi") cam kết bảo vệ dữ liệu cá nhân của người dùng theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và Luật An ninh mạng 2018 của Việt Nam.

1. Dữ liệu chúng tôi thu thập

Email — chỉ khi bạn đăng ký newsletter.
Tương tác blog — IP đã hash (SHA-256, không thể đảo ngược) để chống vote trùng lặp.
localStorage trên thiết bị — profile cá nhân hoá AI, watchlist, journal trading. Dữ liệu này chỉ lưu trên trình duyệt của bạn, không gửi về server.
Logs hệ thống — IP, user agent, đường dẫn truy cập (giữ tối đa 30 ngày để debug).

2. Mục đích sử dụng

Gửi newsletter weekly digest (chỉ khi bạn đăng ký).
Cá nhân hoá trải nghiệm AI Assistant theo profile bạn chọn.
Phân tích traffic ẩn danh để cải thiện nội dung.
Phản hồi yêu cầu liên hệ.

3. Quyền của bạn (theo NĐ 13/2023)

Quyền truy cập: Yêu cầu xem dữ liệu chúng tôi đang lưu về bạn.
Quyền chỉnh sửa / xóa: Gửi yêu cầu xóa email khỏi hệ thống bất cứ lúc nào.
Quyền rút lại đồng ý: Hủy đăng ký newsletter qua link /unsubscribe trong mọi email.
Quyền khiếu nại: Liên hệ Cục An toàn thông tin (Bộ TT&TT) nếu có tranh chấp.

4. Bên thứ ba

Chúng tôi sử dụng các dịch vụ sau và mỗi dịch vụ có chính sách riêng:

Resend — gửi email transactional.
Cloudflare — CDN + bảo vệ DDoS.
CoinGecko — dữ liệu giá crypto (không gửi dữ liệu user).
Telegram Bot API — đăng bài tự động (không gửi dữ liệu user).
Anthropic / OpenAI / DeepSeek — câu hỏi của bạn trên AI Assistant được gửi qua các API này để xử lý. Không lưu định danh cá nhân — chỉ session ID ẩn danh.

5. Cookies & localStorage

Site dùng:

_admin_session — cookie phiên cho admin (chỉ khi bạn là admin).
localStorage: mahoa_profile, mahoa_watchlist, mahoa_journal, mahoa_last_session, mahoa_reaction_*. Tất cả lưu trên trình duyệt của bạn — không gửi server.

Bạn có thể xóa toàn bộ qua DevTools → Application → Storage → Clear site data.

6. Bảo mật

HTTPS bắt buộc (Let's Encrypt + HSTS).
IP được hash SHA-256 trước khi lưu (cho reactions).
Email lưu mã hoá trong DB Postgres, truy cập giới hạn theo Basic Auth + cookie session.
Token unsubscribe dùng HMAC-SHA256 — không thể giả mạo.

7. Trẻ em dưới 16 tuổi

Site dành cho người ≥16 tuổi. Nếu phát hiện đăng ký từ người dưới 16, chúng tôi sẽ xóa ngay lập tức. Phụ huynh có thể yêu cầu xóa qua email.

8. Thay đổi chính sách

Mọi thay đổi sẽ được thông báo qua email (cho subscriber) và banner trên trang chủ ít nhất 7 ngày trước khi áp dụng. Phiên bản hiện tại: cập nhật ngày 2026-04-14.

9. AI Assistant & Dữ liệu Hội Thoại

Khi bạn sử dụng MãHóa AI Assistant tại /ai-assistant, lưu ý các điểm sau:

Nội dung câu hỏi/câu trả lời được gửi tới nhà cung cấp AI (OpenAI, Anthropic Claude, hoặc DeepSeek tuỳ thời điểm) để xử lý và trả về kết quả. Quá trình này tuân thủ chính sách xử lý dữ liệu của từng nhà cung cấp.
Chúng tôi ghi lại conversation logs ở mức IP đã hash SHA-256 (ẩn danh) để phát hiện lạm dụng và cải thiện chất lượng. Không lưu định danh cá nhân.
Lịch sử trò chuyện (conversation history) được lưu cục bộ trên thiết bị của bạn qua localStorage key mahoa_conversations — không gửi server. Bạn có thể xoá từng cuộc hoặc xoá tất cả ngay trong giao diện AI Assistant.
Chúng tôi không dùng dữ liệu hội thoại của bạn để train AI model. Các nhà cung cấp AI bên thứ ba cũng có policy tương tự cho API tier.
AI model sử dụng: OpenAI GPT-4o / GPT-4o-mini (Vision API khi đính kèm ảnh), Anthropic Claude, hoặc DeepSeek (cụ thể được hiển thị trên mỗi câu trả lời của AI).
Ảnh đính kèm (AI Assistant): Khi bạn gửi ảnh để AI phân tích, ảnh được chuyển trực tiếp tới OpenAI API để xử lý và trả về kết quả. Ảnh KHÔNG được lưu trữ trên server của chúng tôi và không được dùng để train AI model. Tuân thủ policy riêng của OpenAI. Giới hạn: tối đa 3 ảnh/lần, 5MB/ảnh, 10 ảnh/giờ/IP.
Câu trả lời của AI chỉ mang tính chất tham khảo, không phải lời khuyên đầu tư. Hãy luôn verify thông tin quan trọng từ nguồn chính thức.

10. Liên hệ

Mọi yêu cầu liên quan đến dữ liệu cá nhân: /lien-he hoặc gửi email về địa chỉ được niêm yết trên trang Liên Hệ.