Chính sách bảo mật

1. Thông tin BodiX thu thập

Thông tin tài khoản (bắt buộc):

• Email và mật khẩu (mã hóa một chiều, không lưu dạng đọc được).
• Họ tên hiển thị.
• Ngày sinh và giới tính – để điều chỉnh khuyến nghị cường độ.
• Số điện thoại Việt Nam và Zalo ID – để gửi tin nhắc tập, rescue, tổng kết tuần.

Dữ liệu sử dụng (tự động sinh ra khi bạn dùng dịch vụ):

• Check-in hàng ngày: ngày, cường độ chọn, cảm giác (1–5).
• Chuỗi ngày hiện tại, chuỗi dài nhất, milestone đạt được.
• Tổng kết tuần, body scan, mid-program reflection.
• Lịch sử thanh toán và enrollment.
• Thông tin thiết bị và trình duyệt (User-Agent), địa chỉ IP, ngôn ngữ – để vận hành và bảo mật.

Tùy chọn (chỉ khi bạn cung cấp):

• Ảnh tiến trình (before / midpoint / after) – để bạn so sánh thay đổi.
• Bài đăng và phản ứng trong cộng đồng cohort.
• Thông tin ngân hàng (chỉ với affiliate) – tên ngân hàng, số tài khoản, chủ tài khoản, chi nhánh – để chuyển hoa hồng.

2. Mục đích sử dụng dữ liệu

BodiX sử dụng dữ liệu của bạn cho các mục đích sau:

• Cung cấp dịch vụ tập luyện: xác thực đăng nhập, hiển thị bài tập, ghi nhận check-in, tính chuỗi ngày.
• Liên lạc qua Zalo và email: tin nhắc tập, rescue, tổng kết tuần, thông báo đợt mới, hóa đơn.
• Cá nhân hóa: điều chỉnh khuyến nghị cường độ dựa trên feedback weekly review của bạn.
• Thống kê và cải thiện: dữ liệu được tổng hợp ở mức ẩn danh để hiểu mức độ hoàn thành chương trình, từ đó cải thiện sản phẩm.
• An ninh và phòng chống gian lận: phát hiện đăng nhập bất thường, rate-limit, anti-fraud cho chương trình affiliate.

3. Cơ sở pháp lý

BodiX xử lý dữ liệu của bạn dựa trên:

• Hợp đồng dịch vụ: dữ liệu cần thiết để BodiX thực hiện dịch vụ bạn đã đăng ký.
• Sự đồng ý của bạn: với những mục tùy chọn (ảnh tiến trình, bài đăng cộng đồng, thông tin ngân hàng).
• Lợi ích hợp pháp: bảo mật, an ninh hệ thống, ngăn gian lận, cải thiện sản phẩm.
• Tuân thủ pháp luật: khi cơ quan có thẩm quyền yêu cầu trong phạm vi luật định.

4. Chia sẻ dữ liệu

BodiX KHÔNG bán dữ liệu cá nhân cho bên thứ 3 cho mục đích quảng cáo hoặc thương mại.

Chúng tôi chỉ chia sẻ dữ liệu với các nhà cung cấp dịch vụ bên thứ 3 đã được BodiX đánh giá và ký thỏa thuận xử lý dữ liệu, phục vụ các mục đích vận hành sau:

• Hạ tầng lưu trữ, hosting, và xác thực tài khoản.
• Gửi tin nhắc tập, rescue, và tổng kết qua kênh Zalo.
• Xử lý thanh toán qua các cổng thanh toán bên thứ 3 – BodiX không lưu thông tin thẻ của bạn.
• Gửi email giao dịch (xác minh tài khoản, hóa đơn, tổng kết).
• Hosting video bài tập riêng tư, có watermark.
• Ghi nhận lỗi kỹ thuật để cải thiện sản phẩm (đã ẩn dữ liệu cá nhân).
• Push notification cho ứng dụng di động (sắp ra mắt).

Một số nhà cung cấp có máy chủ ngoài Việt Nam. Việc chuyển dữ liệu ra ngoài lãnh thổ tuân thủ pháp luật bảo vệ dữ liệu cá nhân hiện hành.

5. Bảo mật dữ liệu

• Mật khẩu được mã hóa một chiều; nhân viên BodiX không thể xem mật khẩu của bạn.
• Toàn bộ traffic mã hóa TLS 1.2+. Cookie session đặt HttpOnly, Secure, SameSite.
• Mọi bảng dữ liệu áp dụng kiểm soát truy cập theo hàng – Người dùng chỉ truy cập được dữ liệu của chính mình.
• Truy cập hạ tầng nội bộ chỉ dành cho thành viên đã xác thực 2 yếu tố. Mọi thao tác admin được log lại.
• Backup dữ liệu hàng tuần, lưu giữ tối thiểu 4 phiên bản gần nhất.

6. Thời gian lưu trữ

• Dữ liệu tài khoản và lịch sử tập luyện: lưu trong suốt thời gian tài khoản hoạt động.
• Dữ liệu thanh toán và hóa đơn: lưu tối thiểu 5 năm theo quy định kế toán.
• Log hệ thống và log lỗi kỹ thuật: lưu tối đa 90 ngày, sau đó xóa tự động.
• Sau khi tài khoản bị xóa: dữ liệu cá nhân được xóa trong 7 ngày làm việc; backup chứa dữ liệu cũ tự động hết hạn trong vòng 30 ngày.

7. Quyền của Người dùng

Bạn có các quyền sau với dữ liệu cá nhân của mình:

• Truy cập: xem toàn bộ dữ liệu BodiX đang lưu về bạn (Hồ sơ → Dữ liệu của tôi).
• Chỉnh sửa: cập nhật thông tin cá nhân, số điện thoại, email, mục tiêu tập luyện.
• Xuất dữ liệu: yêu cầu file JSON chứa toàn bộ dữ liệu của bạn qua email support@bodix.fit.
• Xóa: yêu cầu xóa toàn bộ tài khoản và dữ liệu liên quan.
• Rút sự đồng ý: tắt một loại thông báo Zalo, gỡ ảnh đã upload, ẩn bài đăng.
• Khiếu nại: nếu bạn cho rằng dữ liệu bị xử lý sai, gửi yêu cầu để BodiX xem xét.

8. Cookie và công nghệ tương tự

BodiX chỉ dùng cookie kỹ thuật cần thiết:

• Session đăng nhập.
• Tùy chọn ngôn ngữ và giao diện.
• Anti-CSRF token để bảo vệ form submit.

BodiX không dùng cookie quảng cáo bên thứ 3, không dùng các công cụ tracker để theo dõi bạn xuyên website.

9. Trẻ em dưới 16 tuổi

BodiX dành cho người trưởng thành, đặc biệt phụ nữ 25–45 tuổi. Chúng tôi không thu thập có chủ đích dữ liệu của trẻ em dưới 16 tuổi. Nếu bạn là phụ huynh phát hiện con mình đã đăng ký, vui lòng liên hệ để BodiX xóa tài khoản.

10. Cập nhật chính sách

Khi có thay đổi quan trọng, BodiX cập nhật trang này và gửi thông báo qua email. Phiên bản hiện tại được ghi rõ ngày ở đầu trang. Việc tiếp tục sử dụng Dịch vụ sau ngày cập nhật được xem là bạn chấp nhận chính sách mới.