Privacy Policy · Chính sách bảo mật
Hiệu lực từ: 2026-05-28
1. Dữ liệu chúng tôi thu thập
FlashSMS thu thập tối thiểu dữ liệu cần thiết để vận hành dịch vụ:
- Account: email + password hash (bcrypt cost 12, không phải plaintext) + locale preference
- Transaction: lịch sử top-up, mua số, refund (
Transactiontable) — giữ vô thời hạn cho audit tài chính - SMS content: nội dung SMS từ dịch vụ đích → lưu 30 ngày sau order COMPLETED, sau đó auto-purge
- Phone numbers: số điện thoại tạm thuê từ upstream (KHÔNG phải số của user) — lưu 90 ngày cho dispute resolution
- API key usage: rate limit counters, last used timestamp (tier B2B) — analytics-only
- IP address: log 30 ngày cho rate limit + abuse detection. KHÔNG bán cho 3rd party.
2. Dữ liệu KHÔNG thu thập
- Số điện thoại thật của user (chỉ email)
- CMND/CCCD (không yêu cầu KYC cho tier B2C)
- Phương thức thanh toán chi tiết (crypto wallet address chỉ ở NowPayments, không lưu local)
- Browsing history, third-party cookies, advertising trackers
3. Cookies và tracking
FlashSMS chỉ dùng essential cookies:
__Host-flashsms.session— session auth (httpOnly, secure, sameSite=lax, 7 ngày)__Host-flashsms.csrf-token— chống CSRF (httpOnly)NEXT_LOCALE— language preference (1 năm)
KHÔNG có Google Analytics, Facebook Pixel, hoặc marketing tracker nào. Không cần GDPR cookie consent vì 100% cookies là essential.
4. Chia sẻ dữ liệu với 3rd party
FlashSMS chia sẻ dữ liệu tối thiểu với các provider dịch vụ:
- api.cc (upstream SMS): nhận api_token + phone request, KHÔNG nhận email user. Order metadata pin theo internal id.
- NowPayments (crypto gateway): user email + invoice amount khi top-up. Privacy policy: nowpayments.io/privacy
- Webshare (proxy infra): KHÔNG nhận user data, chỉ outbound HTTP requests qua proxy.
- Hostinger (VPS hosting): có quyền access database theo policy của họ.
- Cloudflare/Caddy: nhận IP + request URL cho rate limit và DDoS protection.
KHÔNG bán dữ liệu cho marketing, analytics provider, hoặc 3rd party khác.
5. Bảo mật dữ liệu
- Password: bcrypt cost 12 (~250ms/hash, không phải MD5/SHA1)
- API key: SHA-256 hash, plaintext chỉ hiện 1 lần lúc tạo
- Transport: HTTPS-only (HSTS preload 2 năm) + cookies __Host- prefix
- DB backup: pg_dump encrypted, lưu trên Backblaze B2 private bucket
- Rate limit + WAF: chống brute force credential stuffing
- SSRF guard cho webhook URLs user khai báo
6. Quyền của user (GDPR + Vietnam Personal Data Protection)
- Right to access: yêu cầu export toàn bộ data qua support@flashsms.io, trả lời trong 7 ngày làm việc.
- Right to delete: xóa account qua
/dashboard/account→ soft-delete 30 ngày grace, sau đó hard-delete (trừ Transaction giữ cho audit financial 5 năm theo luật). - Right to rectification: sửa email/name qua dashboard.
- Right to data portability: export CSV transactions.
7. Lưu trữ + giữ liệu
| Loại dữ liệu | Thời hạn lưu |
|---|---|
| Account (User table) | Đến khi user xóa + 30d grace |
| Transaction | 5 năm (audit financial) |
| SMS content | 30 ngày sau COMPLETED, auto-purge |
| Order metadata | 1 năm |
| Phone numbers | 90 ngày |
| API request log | 30 ngày |
| Admin audit log | 2 năm |
8. Trẻ em
FlashSMS không nhằm tới user dưới 18 tuổi. Nếu phát hiện account trẻ em → xóa account + refund không điều kiện.
9. Thay đổi policy
Khi cập nhật policy, FlashSMS gửi email thông báo 14 ngày trước hiệu lực. Tiếp tục sử dụng = chấp nhận policy mới.
10. Liên hệ DPO
Data Protection Officer: support@flashsms.io
Phản hồi trong 7 ngày làm việc.