Chính Sách Bảo Mật
Cập nhật lần cuối: 01/01/2025
VSSOFT JSC ("chúng tôi") cam kết bảo vệ quyền riêng tư và an toàn dữ liệu của tất cả người dùng, khách hàng và đối tác. Chính sách này mô tả cách chúng tôi thu thập, sử dụng, lưu trữ và bảo vệ thông tin theo quy định của Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân và các chuẩn mực quốc tế.
1.Phạm vi áp dụng
Chính sách này áp dụng cho tất cả sản phẩm và dịch vụ của VSSOFT JSC bao gồm HIS, EMR, LIS, PACS, KIOSK và nền tảng web vssoft.vn.
Chính sách áp dụng cho khách hàng tổ chức (bệnh viện, phòng khám), người dùng cuối (nhân viên y tế), và khách truy cập website.
2.Dữ liệu chúng tôi thu thập
Chúng tôi thu thập các loại dữ liệu sau đây tùy theo mục đích sử dụng dịch vụ:
- Thông tin định danh: họ tên, email, số điện thoại, chức danh, tổ chức.
- Dữ liệu sử dụng dịch vụ: log đăng nhập, hành vi sử dụng tính năng, báo cáo lỗi.
- Dữ liệu kỹ thuật: địa chỉ IP, loại thiết bị, trình duyệt, múi giờ.
- Dữ liệu hợp đồng: thông tin thanh toán, hóa đơn, điều khoản SLA (không bao gồm số thẻ đầy đủ).
- Dữ liệu bệnh nhân (khi triển khai tại cơ sở y tế): xử lý theo chỉ định từ tổ chức khách hàng dưới tư cách Data Processor.
3.Mục đích sử dụng dữ liệu
Chúng tôi sử dụng dữ liệu để:
- Cung cấp, vận hành và cải tiến sản phẩm phần mềm.
- Hỗ trợ kỹ thuật, xử lý ticket và phản hồi yêu cầu.
- Gửi thông báo hệ thống, cập nhật tính năng và bản vá bảo mật.
- Phân tích hiệu suất hệ thống và phát hiện bất thường bảo mật.
- Tuân thủ nghĩa vụ pháp lý và kiểm toán theo quy định.
4.Bảo mật dữ liệu
VSSOFT áp dụng nhiều lớp bảo vệ kỹ thuật và tổ chức để đảm bảo an toàn dữ liệu:
- Mã hóa dữ liệu lưu trữ: AES-256.
- Mã hóa truyền tải: TLS 1.3 cho tất cả kết nối.
- Xác thực đa yếu tố (MFA) cho tài khoản quản trị.
- Phân quyền truy cập theo nguyên tắc least-privilege.
- Audit log đầy đủ và giám sát bất thường 24/7.
- Kiểm tra bảo mật định kỳ (penetration testing) bởi bên thứ ba.
5.Chia sẻ dữ liệu với bên thứ ba
Chúng tôi không bán dữ liệu của bạn. Dữ liệu chỉ được chia sẻ trong các trường hợp:
Nhà cung cấp dịch vụ đám mây (AWS/Azure): theo hợp đồng DPA đầy đủ.
Cơ quan nhà nước: khi có yêu cầu pháp lý hợp lệ.
Đối tác triển khai được ủy quyền: chỉ dữ liệu cần thiết và theo NDA.
6.Quyền của chủ thể dữ liệu
Theo Nghị định 13/2023/NĐ-CP và nguyên tắc GDPR, bạn có các quyền sau:
- Quyền truy cập: yêu cầu bản sao dữ liệu cá nhân của bạn.
- Quyền chỉnh sửa: yêu cầu cập nhật thông tin không chính xác.
- Quyền xóa: yêu cầu xóa dữ liệu (trừ khi có nghĩa vụ pháp lý giữ lại).
- Quyền hạn chế xử lý: giới hạn cách chúng tôi dùng dữ liệu.
- Quyền di chuyển dữ liệu: nhận dữ liệu ở định dạng có thể đọc được.
- Quyền phản đối: từ chối xử lý cho mục đích marketing.
7.Cookie và công nghệ theo dõi
Website vssoft.vn sử dụng cookie để:
Cookie thiết yếu: duy trì phiên đăng nhập và bảo mật CSRF.
Cookie phân tích: đo lường lưu lượng và hiệu quả nội dung (có thể tắt).
Cookie ưu tiên: lưu cài đặt ngôn ngữ và giao diện.
Bạn có thể quản lý cookie qua trình duyệt hoặc banner cookie trên website.
8.Lưu giữ dữ liệu
Dữ liệu tài khoản và hợp đồng được giữ trong 5 năm sau khi kết thúc hợp đồng theo yêu cầu pháp lý.
Dữ liệu bệnh nhân được lưu giữ theo quy định Bộ Y tế (tối thiểu 10 năm cho hồ sơ bệnh án).
Log kỹ thuật và audit log được giữ tối thiểu 12 tháng.
9.Thay đổi chính sách
VSSOFT có thể cập nhật chính sách này khi có thay đổi pháp luật, công nghệ hoặc mô hình kinh doanh.
Các thay đổi quan trọng sẽ được thông báo qua email và banner trên website ít nhất 30 ngày trước khi có hiệu lực.
Việc tiếp tục sử dụng dịch vụ sau thời điểm thay đổi có hiệu lực được coi là đồng ý với chính sách mới.
Liên hệ về quyền riêng tư
Nếu bạn có câu hỏi về chính sách bảo mật hoặc muốn thực hiện quyền dữ liệu cá nhân, hãy liên hệ: