Chính sách bảo mật

Phiên bản ngắn gọn: trong chế độ BYOK, chúng tôi không lưu API Key, nội dung hội thoại hay đầu ra của mô hình; đồng bộ đám mây, bản sao lưu mã hóa và Oriveo Free đều là tính năng tùy chọn, chỉ xử lý dữ liệu tương ứng khi bạn chủ động sử dụng.

• API Key của bạn: chỉ được giữ trong kho bảo mật của hệ điều hành trên chính thiết bị của bạn, không bao giờ được tải lên máy chủ của chúng tôi.
• Hội thoại và tệp đính kèm của bạn: ở chế độ BYOK, dữ liệu đi thẳng từ thiết bị của bạn đến nhà cung cấp AI; chỉ khi bạn bật đồng bộ hoặc tạo bản sao lưu thì dữ liệu mới được tải lên, và bản sao lưu được mã hóa đầu cuối bằng AES-256.
• Oriveo Free: yêu cầu sẽ đi qua máy chủ Oriveo rồi mới tới nhà cung cấp mô hình bên thứ ba; chúng tôi chỉ giữ các bản ghi tối thiểu cần cho giới hạn hạn mức, chống lạm dụng và kiểm toán.
• Những điều chúng tôi không làm: không bán dữ liệu cá nhân của bạn, không chạy quảng cáo nhắm mục tiêu, không dùng nội dung của bạn để huấn luyện mô hình AI riêng của Oriveo.

Trong chính sách này, Oriveo là bên kiểm soát dữ liệu, hoặc là bên xử lý thông tin cá nhân theo nghĩa của các luật bảo vệ dữ liệu hiện hành.

• Đơn vị vận hành: [Tên pháp nhân vận hành, theo đăng ký chính thức]
• Địa chỉ đăng ký / liên hệ: [Cần bổ sung]
• Email về quyền riêng tư và bảo vệ dữ liệu: [email protected]
• Email hỗ trợ chung: [email protected]

Nếu bạn ở Khu vực Kinh tế Châu Âu (EEA), Vương quốc Anh hoặc Thụy Sĩ, bạn có thể liên hệ với chúng tôi hoặc cơ quan bảo vệ dữ liệu tại nơi cư trú của mình để hỏi hoặc khiếu nại về việc xử lý dữ liệu cá nhân liên quan đến Dịch vụ.

Chúng tôi chỉ thu thập lượng dữ liệu tối thiểu cần thiết để vận hành Dịch vụ, bao gồm:

• Thông tin tài khoản: thông qua Firebase Authentication, chúng tôi lưu địa chỉ email, tên hiển thị, URL ảnh đại diện và phương thức đăng nhập của bạn (Google, Apple hoặc OTP qua email). Chúng tôi không lưu mật khẩu tài khoản; mã OTP qua email do Resend gửi và thường hết hạn sau 10 phút.
• Siêu dữ liệu đồng bộ đám mây: khi bạn bật đồng bộ, Firebase Firestore sẽ lưu tiêu đề cuộc trò chuyện, mốc thời gian, thư mục, danh mục Skill, nội dung Memory, tùy chọn và số liệu chi phí. Phần thân tin nhắn không được đưa lên đám mây theo mặc định; chỉ khi bạn chủ động tạo bản sao lưu mã hóa thì dữ liệu mới được tải lên Firebase Cloud Storage bằng AES-256.
• Tệp đính kèm: nếu bật đồng bộ, ảnh, PDF và các tệp khác sẽ được tải lên Firebase Cloud Storage trong vùng dữ liệu của tài khoản bạn để hỗ trợ truy cập nhiều thiết bị; bạn có thể xóa bất cứ lúc nào.
• Tệp tri thức của Skill: khi bạn tải tài liệu tri thức cho Skill, tệp sẽ được backend của chúng tôi chuyển tiếp tới OpenAI Vector Store để phục vụ truy xuất ngữ cảnh; nội dung gốc và vector chỉ dùng cho tài khoản của bạn.
• Dữ liệu thiết bị và kỹ thuật: địa chỉ IP (phục vụ chống lạm dụng, giới hạn tốc độ và xác định khu vực tuân thủ), vị trí địa lý gần đúng suy ra từ IP, mẫu thiết bị, phiên bản hệ điều hành, phiên bản ứng dụng, ngôn ngữ và múi giờ.
• Dữ liệu chẩn đoán lỗi và hiệu năng: Sentry có thể thu thập stack trace của lỗi chưa xử lý, breadcrumb, mã người dùng hiện tại (Firebase UID) và dấu vân tay thiết bị. Dữ liệu này có thể được liên kết với tài khoản của bạn, không phải hoàn toàn ẩn danh; nếu không muốn gửi, bạn có thể tắt trong mục Cài đặt → Quyền riêng tư.
• Bản ghi vận hành của Oriveo Free: khi dùng gói miễn phí, chúng tôi giữ Guest Session ID, token nhận diện thiết bị, ID mô hình cho mỗi lượt gọi, số lượng token, nhật ký báo cáo và hạn mức; phần thân tin nhắn không được lưu mặc định, chỉ có thể được lấy mẫu giới hạn trong các trường hợp rà soát khiếu nại hoặc tuân thủ.
• Dữ liệu bảo mật của trang quản trị: khi quản trị viên đăng nhập, chúng tôi dùng Cloudflare Turnstile để xác minh và lưu nhật ký đăng nhập cần thiết.

Trong chế độ BYOK, các dữ liệu sau không rời khỏi thiết bị của bạn, và chúng tôi cũng không thu thập hay có khả năng đọc chúng:

• API Key bạn nhập;
• nội dung trao đổi giữa bạn và các nhà cung cấp AI bên thứ ba như OpenAI, Anthropic hoặc Google;
• phản hồi mô hình, nội dung sinh ra và các trích dẫn liên quan;
• nội dung gốc của tệp đính kèm cục bộ, trừ khi bạn tự bật đồng bộ hoặc tự tạo bản sao lưu mã hóa;
• lịch sử hội thoại, trừ khi bạn tự bật đồng bộ hoặc tự tạo bản sao lưu mã hóa.

Ở chế độ BYOK, yêu cầu được gửi trực tiếp từ thiết bị của bạn đến nhà cung cấp AI mà bạn chọn, không đi qua máy chủ Oriveo. Chúng tôi không làm proxy và cũng không tạo bản sao lưu lượng này.

Chúng tôi xử lý dữ liệu cá nhân của bạn cho các mục đích sau, và khi áp dụng sẽ dựa trên căn cứ pháp lý theo GDPR, CCPA/CPRA, PIPL hoặc luật tương đương:

• Cung cấp và duy trì Dịch vụ như đăng nhập, đồng bộ đám mây và truy cập đa thiết bị, trên cơ sở cần thiết để thực hiện hợp đồng.
• Chẩn đoán lỗi và cải thiện sản phẩm như phân tích lỗi, log sập ứng dụng và chỉ số sử dụng tổng hợp, trên cơ sở lợi ích hợp pháp của chúng tôi trong việc vận hành sản phẩm ổn định hơn.
• Chống lạm dụng, kiểm soát hạn mức và bảo vệ an toàn như giới hạn tốc độ, CAPTCHA, phát hiện đăng nhập bất thường, kiểm toán hạn mức của Oriveo Free và chống gian lận, trên cơ sở lợi ích hợp pháp hoặc nghĩa vụ pháp lý.
• Vận hành Oriveo Free như chuyển tiếp yêu cầu, ghi nhận hạn mức và xử lý báo cáo nội dung, trên cơ sở cần thiết để cung cấp tính năng bạn yêu cầu.
• Đáp ứng yêu cầu pháp luật như lệnh tòa, yêu cầu từ cơ quan quản lý hoặc yêu cầu của chủ thể dữ liệu, trên cơ sở nghĩa vụ pháp lý.
• Gửi cho bạn các thông báo quan trọng về thay đổi dịch vụ, sự cố bảo mật hoặc cập nhật có ảnh hưởng, trên cơ sở thực hiện hợp đồng hoặc lợi ích hợp pháp.

Chúng tôi không:

• bán hoặc cho thuê dữ liệu cá nhân của bạn cho bên thứ ba;
• dùng dữ liệu cá nhân của bạn để chạy quảng cáo nhắm mục tiêu hoặc lập hồ sơ quảng cáo;
• dùng nội dung người dùng để huấn luyện mô hình AI riêng của Oriveo.

Để vận hành Dịch vụ, chúng tôi chia sẻ lượng dữ liệu tối thiểu cần thiết với các bên xử lý phụ và ký thỏa thuận xử lý dữ liệu khi phù hợp:

• Google Firebase (Authentication / Firestore / Cloud Storage / Hosting): dùng cho tài khoản, dữ liệu đồng bộ và tệp đính kèm; hạ tầng có thể đặt tại Hoa Kỳ.
• Sentry: dùng để giám sát lỗi và hiệu năng.
• Resend: dùng để gửi email OTP, nhận địa chỉ email người nhận và mã xác minh một lần.
• Cloudflare: dùng cho CDN, chống DDoS và Turnstile trên trang quản trị; có thể nhận metadata của yêu cầu và địa chỉ IP.
• OpenAI: chỉ dùng cho OpenAI Vector Store của Skill knowledge base, và cho Oriveo Free khi tuyến mô hình yêu cầu.
• Các nhà cung cấp AI bên thứ ba do bạn chọn: trong chế độ BYOK, dữ liệu đi thẳng từ thiết bị của bạn đến nhà cung cấp, không qua Oriveo. Các nhà cung cấp này có thể bao gồm OpenAI, Anthropic, Google, DeepSeek, OpenRouter, Groq, Together AI, Fireworks AI, MiniMax, Zhipu, Qwen, SiliconFlow và endpoint Relay tùy chỉnh của bạn. Mỗi nhà cung cấp có chính sách riêng về quyền riêng tư và xử lý dữ liệu; bạn có trách nhiệm đọc và tuân thủ các chính sách đó, kể cả tùy chọn loại trừ khỏi dữ liệu huấn luyện nếu họ cung cấp.

Ngoài các trường hợp nêu trên hoặc khi pháp luật yêu cầu, chúng tôi không tiết lộ, bán, cho thuê hay chuyển nhượng dữ liệu cá nhân của bạn cho bất kỳ bên thứ ba nào.

Hạ tầng đám mây của chúng tôi như Firebase, Sentry và Cloudflare vận hành trên nhiều khu vực toàn cầu. Nếu bạn ở khu vực khác với nơi đặt máy chủ, dữ liệu cá nhân của bạn có thể được chuyển xuyên biên giới. Chúng tôi sử dụng các cơ chế phù hợp theo luật hiện hành:

• Người dùng tại EEA / Vương quốc Anh / Thụy Sĩ: dựa trên các Điều khoản hợp đồng chuẩn (SCCs) được cơ quan có thẩm quyền phê duyệt cùng với các biện pháp bổ sung cần thiết.
• Người dùng tại Trung Quốc đại lục: chúng tôi sẽ đánh giá tính cần thiết và thông báo theo yêu cầu của Luật Bảo vệ Thông tin Cá nhân (PIPL).
• Người dùng ở khu vực khác: áp dụng cơ chế truyền dữ liệu xuyên biên giới phù hợp theo pháp luật sở tại.

Nếu bạn muốn biết thêm về cơ chế truyền dữ liệu hoặc yêu cầu bản sao tài liệu liên quan, vui lòng liên hệ [email protected].

Thời hạn lưu giữ:

• Thông tin tài khoản: trong suốt vòng đời tài khoản và thêm 30 ngày sau khi xóa để xử lý khôi phục nhầm lẫn.
• Siêu dữ liệu đồng bộ / tệp đính kèm / tệp tri thức: lưu cho đến khi bạn chủ động xóa hoặc đóng tài khoản.
• Nhật ký gọi của Oriveo Free: tối đa 180 ngày để phát hiện lạm dụng và kiểm toán tuân thủ.
• Ảnh chụp nội dung liên quan đến báo cáo trong Oriveo Free: tối đa 12 tháng hoặc đến khi tranh chấp được giải quyết xong.
• Nhật ký lỗi trong Sentry: tối đa 90 ngày.
• Nhật ký đăng nhập quản trị: tối đa 12 tháng.
• Mã OTP: 10 phút hoặc hết hiệu lực ngay sau khi xác minh thành công.
• Dữ liệu mà pháp luật buộc phải giữ lại: sẽ được lưu theo thời hạn do luật áp dụng quy định, kể cả khi dài hơn các mốc nêu trên.

Biện pháp bảo mật:

• Mã hóa khi truyền: mọi kết nối giữa ứng dụng khách và dịch vụ của chúng tôi sử dụng TLS 1.2 trở lên.
• Mã hóa khi lưu trữ: hệ thống máy chủ dùng mã hóa dữ liệu ở trạng thái nghỉ; bản sao lưu của người dùng được mã hóa đầu cuối bằng AES-256 và khóa do bạn nắm giữ.
• Bảo vệ API Key trên thiết bị: API Key được lưu trong iOS Keychain, Android Keystore hoặc cơ chế lưu trữ mã hóa của trình duyệt.
• Kiểm soát truy cập: truy cập nội bộ tuân theo nguyên tắc tối thiểu cần thiết, và các thao tác nhạy cảm được ghi vào nhật ký kiểm toán.
• Thông báo sự cố rò rỉ dữ liệu: nếu xảy ra sự cố có thể gây rủi ro cao cho bạn, chúng tôi sẽ cố gắng thông báo trong vòng 72 giờ qua email hoặc thông báo trong ứng dụng, đồng thời báo cáo tới cơ quan có thẩm quyền khi pháp luật yêu cầu.

Theo luật áp dụng như GDPR, UK GDPR, CCPA/CPRA hoặc PIPL, bạn có thể có các quyền sau:

• Quyền truy cập và nhận bản sao: bạn có thể xuất toàn bộ dữ liệu của mình qua Cài đặt → Sao lưu → Xuất dữ liệu, ở định dạng có cấu trúc để di chuyển dễ dàng.
• Quyền chỉnh sửa: bạn có thể sửa một số thông tin ngay trong cài đặt tài khoản; với trường hợp không tự chỉnh được, vui lòng gửi email cho chúng tôi.
• Quyền xóa: bạn có thể vào Cài đặt → Tài khoản → Xóa tài khoản để xóa toàn bộ dữ liệu phía máy chủ liên quan, ngoại trừ các log phải giữ theo chính sách lưu giữ hoặc nghĩa vụ pháp lý.
• Quyền di chuyển dữ liệu: bạn có thể nhận dữ liệu ở định dạng có cấu trúc, phổ biến và máy có thể đọc được.
• Quyền phản đối hoặc hạn chế xử lý: bạn có thể tắt chẩn đoán, tắt đồng bộ đám mây hoặc ngừng sử dụng Dịch vụ bất cứ lúc nào.
• Quyền rút lại sự đồng ý: với các xử lý dựa trên sự đồng ý, bạn có thể rút lại bất cứ lúc nào; việc rút lại không ảnh hưởng đến tính hợp pháp của việc xử lý trước đó.
• Quyền không bị ràng buộc bởi quyết định tự động có hiệu lực pháp lý: chúng tôi không dùng hệ thống ra quyết định tự động tạo hậu quả pháp lý đối với bạn; cơ chế hạn mức của Oriveo Free chỉ là biện pháp vận hành và chống lạm dụng, không phải chấm điểm hồ sơ cá nhân.
• Quyền khiếu nại lên cơ quan có thẩm quyền: người dùng tại EEA / Vương quốc Anh có thể khiếu nại với cơ quan bảo vệ dữ liệu tại nơi cư trú; người dùng California có thể liên hệ Văn phòng Tổng chưởng lý California; người dùng tại Trung Quốc đại lục có thể khiếu nại theo quy định của PIPL.

Thời hạn phản hồi: chúng tôi sẽ cố gắng phản hồi trong vòng 30 ngày kể từ khi nhận được yêu cầu có thể xác minh. Với yêu cầu phức tạp, thời hạn có thể được gia hạn thêm theo luật, và chúng tôi sẽ thông báo lý do. Nếu bạn không hài lòng với cách xử lý, trước tiên hãy liên hệ [email protected].

Website và ứng dụng web của Oriveo sử dụng các công nghệ lưu trữ sau, không dùng cho quảng cáo nhắm mục tiêu hoặc theo dõi chéo website:

• Bắt buộc để vận hành: cookie phiên đăng nhập của Firebase Auth, token chống CSRF, cookie JWT của trang quản trị.
• Chức năng: lưu chủ đề giao diện, ngôn ngữ, bố cục, bản nháp cuộc trò chuyện và cache metadata mô hình trong IndexedDB hoặc cơ chế lưu trữ tương đương của trình duyệt.
• An ninh: Cloudflare Turnstile trên trang quản trị và token chống DDoS từ Cloudflare.

Chúng tôi không dùng cookie quảng cáo của bên thứ ba, pixel theo dõi chéo trang hoặc script analytics phục vụ quảng cáo. Bạn có thể xóa hoặc chặn cookie trong trình duyệt, nhưng việc này có thể ảnh hưởng đến đăng nhập hoặc một số chức năng.

Dịch vụ này không dành cho trẻ em dưới 13 tuổi. Nếu nơi bạn sinh sống quy định độ tuổi đồng ý số cao hơn, ví dụ một số nước EU yêu cầu 16 tuổi, bạn phải đáp ứng độ tuổi tối thiểu theo luật địa phương. Người chưa đủ tuổi pháp lý chỉ được sử dụng khi có sự đồng ý và giám sát của cha mẹ hoặc người giám hộ hợp pháp.

Chúng tôi không cố ý thu thập dữ liệu cá nhân của trẻ em chưa đủ tuổi pháp lý. Nếu bạn là cha mẹ hoặc người giám hộ và tin rằng con mình đã cung cấp dữ liệu cho chúng tôi, vui lòng liên hệ [email protected] để chúng tôi xác minh và xóa dữ liệu liên quan.

Thay đổi chính sách: chúng tôi có thể cập nhật Chính sách bảo mật này để phản ánh thay đổi về sản phẩm, công nghệ hoặc pháp luật. Nếu thay đổi là trọng yếu, chúng tôi sẽ thông báo trước khi có hiệu lực qua thông báo trong ứng dụng, email hoặc vị trí dễ thấy trên website, đồng thời cập nhật ngày Cập nhật lần cuối. Việc bạn tiếp tục dùng Dịch vụ sau khi thay đổi có hiệu lực được xem là chấp nhận chính sách đã sửa đổi; nếu không đồng ý, bạn có thể ngừng sử dụng và xóa tài khoản.

Liên hệ:

• Quyền riêng tư và yêu cầu của chủ thể dữ liệu: [email protected]
• Hỗ trợ sản phẩm chung: [email protected]
• Vấn đề pháp lý: [email protected]

Chúng tôi sẽ cố gắng phản hồi trong thời gian hợp lý.