Chính sách bảo mật

Cập nhật lần cuối: 23 tháng 2, 2026

1. Dữ liệu chúng tôi thu thập

Chúng tôi thu thập các loại dữ liệu sau khi bạn sử dụng SMSCode:

Dữ liệu tài khoản

  • Địa chỉ email (dùng để đăng nhập và thông báo).
  • Mật khẩu (được lưu trữ dưới dạng hash argon2 — chúng tôi không bao giờ lưu mật khẩu dạng văn bản thuần).

Dữ liệu giao dịch

  • Lịch sử đơn hàng (thuê số, dịch vụ, quốc gia, thời gian, trạng thái).
  • Lịch sử nạp tiền (số tiền, phương thức thanh toán, trạng thái).
  • Số dư tài khoản và bản ghi giao dịch.

Dữ liệu sử dụng

  • Địa chỉ IP và vị trí địa lý gần đúng.
  • Thông tin thiết bị và trình duyệt (user agent).
  • Nhật ký máy chủ (thời gian yêu cầu, endpoint được truy cập).

Dữ liệu sử dụng API

  • Nhật ký yêu cầu API (endpoint, thời gian, mã phản hồi).
  • Bộ đếm rate limit.

2. Cách chúng tôi sử dụng dữ liệu

  • Cung cấp dịch vụ — Xử lý thuê số, quản lý số dư và thực hiện đơn hàng.
  • Phòng chống gian lận — Phát hiện và ngăn chặn lạm dụng, truy cập trái phép và vi phạm chính sách.
  • Phân tích — Hiểu mô hình sử dụng để cải thiện độ tin cậy và hiệu suất nền tảng.
  • Hỗ trợ — Phản hồi yêu cầu của bạn và giải quyết vấn đề liên quan đến tài khoản hoặc đơn hàng.
  • Thông tin liên lạc — Gửi thông báo liên quan đến dịch vụ (cập nhật đơn hàng, cảnh báo bảo mật). Chúng tôi không gửi email tiếp thị mà không có sự đồng ý của bạn.

3. Dữ liệu SMS & Số ảo

  • Mã OTP là tạm thời — Nội dung SMS nhận được (mã OTP) được hiển thị cho bạn theo thời gian thực và không được lưu trữ lâu dài sau khi đơn hàng hết hạn hoặc hoàn thành.
  • Số điện thoại là tạm thời — Số thuê là tạm thời và được tái sử dụng sau khi hết thời hạn thuê. Chúng tôi không liên kết số thuê với danh tính của bạn ngoài đơn hàng đang hoạt động.
  • Không có dữ liệu cuộc gọi — SMSCode chỉ xử lý xác minh SMS; chúng tôi không xử lý cuộc gọi thoại hoặc siêu dữ liệu cuộc gọi.

4. Dữ liệu thanh toán

  • Thanh toán được xử lý bởi cổng thanh toán bên thứ ba (Duitku, Heleket). Chúng tôi không lưu trữ thông tin thẻ tín dụng, tài khoản ngân hàng hoặc chi tiết phương tiện thanh toán của bạn.
  • Chúng tôi lưu trữ mã tham chiếu giao dịch (ID cổng thanh toán, số tiền, trạng thái) cho mục đích đối soát và hỗ trợ.
  • Các nhà cung cấp cổng thanh toán có chính sách bảo mật riêng quy định cách họ xử lý thông tin thanh toán của bạn.

5. Chia sẻ dữ liệu

Chúng tôi chỉ chia sẻ dữ liệu khi cần thiết cho dịch vụ:

  • Nhà cung cấp SMS thượng nguồn — Chúng tôi gửi thông số đơn hàng (quốc gia, dịch vụ) cho nhà cung cấp thượng nguồn để thực hiện thuê số. Chúng tôi không chia sẻ thông tin cá nhân của bạn với nhà cung cấp.
  • Bên xử lý thanh toán — Dữ liệu giao dịch được chia sẻ với cổng thanh toán để xử lý nạp tiền.
  • Cơ quan thực thi pháp luật — Chúng tôi có thể tiết lộ dữ liệu nếu được yêu cầu bởi pháp luật, lệnh tòa án, hoặc để bảo vệ quyền lợi, tài sản hoặc an toàn của SMSCode, người dùng hoặc công chúng.

Chúng tôi không bán dữ liệu cá nhân của bạn cho bên thứ ba. Chúng tôi không chia sẻ dữ liệu với nhà quảng cáo.

6. Lưu trữ dữ liệu

  • Lịch sử đơn hàng — Được giữ lại cho mục đích đối soát, hỗ trợ và kiểm toán.
  • Nội dung OTP/SMS — Được xóa sau khi đơn hàng hết hạn hoặc hoàn thành.
  • Dữ liệu tài khoản — Được giữ lại khi tài khoản còn hoạt động. Khi xóa tài khoản, dữ liệu cá nhân sẽ được xóa trong vòng 30 ngày (một số dữ liệu có thể được giữ lại để tuân thủ pháp luật).
  • Nhật ký máy chủ — Được giữ lại tối đa 90 ngày cho mục đích bảo mật và gỡ lỗi.

7. Cookie & Phiên đăng nhập

  • Chúng tôi sử dụng một cookie phiên httpOnly duy nhất (__session) để duy trì phiên đăng nhập của bạn. Cookie này được mã hóa và không thể đọc bởi các script phía client.
  • Chúng tôi không sử dụng cookie theo dõi, cookie quảng cáo hoặc cookie phân tích bên thứ ba.
  • Không cần biểu ngữ cookie vì chúng tôi chỉ sử dụng cookie cần thiết cho xác thực.

8. Biện pháp bảo mật

  • Phiên được mã hóa — Cookie phiên được mã hóa bằng AES-256-GCM.
  • Hash mật khẩu — Mật khẩu được hash bằng argon2, thuật toán bộ nhớ khó có khả năng chống tấn công brute-force.
  • HTTPS — Tất cả lưu lượng được mã hóa khi truyền qua TLS.
  • Bảo vệ CSRF — Các endpoint thay đổi trạng thái được bảo vệ chống giả mạo yêu cầu xuyên trang.
  • Rate limiting — API và endpoint xác thực được giới hạn tốc độ để ngăn chặn lạm dụng.

Mặc dù chúng tôi áp dụng các biện pháp bảo mật tiêu chuẩn ngành, không có hệ thống nào an toàn 100%. Nếu bạn phát hiện lỗ hổng bảo mật, vui lòng báo cáo đến [email protected].

9. Quyền của bạn

Bạn có quyền:

  • Truy cập — Yêu cầu bản sao dữ liệu cá nhân mà chúng tôi lưu giữ về bạn.
  • Chỉnh sửa — Yêu cầu chỉnh sửa dữ liệu cá nhân không chính xác.
  • Xóa — Yêu cầu xóa tài khoản và dữ liệu cá nhân liên quan.
  • Xuất dữ liệu — Yêu cầu dữ liệu của bạn ở định dạng di động.

Để thực hiện bất kỳ quyền nào trong số này, hãy liên hệ với chúng tôi tại [email protected]. Chúng tôi sẽ phản hồi trong vòng 30 ngày.

10. Trẻ em

SMSCode không dành cho người dưới 18 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân từ trẻ em. Nếu bạn cho rằng trẻ em dưới 18 tuổi đã cung cấp dữ liệu cá nhân cho chúng tôi, vui lòng liên hệ và chúng tôi sẽ xóa ngay.

11. Thay đổi chính sách

Chúng tôi có thể cập nhật Chính sách bảo mật này theo thời gian. Các thay đổi quan trọng sẽ được thông báo qua email hoặc thông báo trên nền tảng. Ngày "Cập nhật lần cuối" ở đầu trang phản ánh phiên bản mới nhất.

12. Liên hệ

Đối với các câu hỏi hoặc yêu cầu liên quan đến quyền riêng tư, hãy liên hệ với chúng tôi tại [email protected].

Để được hỗ trợ chung, hãy liên hệ với chúng tôi tại [email protected].