Chính sách quyền riêng tư

1. Tổng quan

VibeDest là nền tảng tổng hợp sự kiện văn hoá — giải trí và công cụ lập kế hoạch chuyến đi đa điểm. Chúng tôi tin vào việc thu thập tối thiểu, minh bạch về mục đích, và không bán dữ liệu cá nhân cho bên thứ ba.

2. Dữ liệu chúng tôi thu thập

Chỉ thu thập khi bạn chủ động cung cấp hoặc khi cần thiết để vận hành dịch vụ:

• Thông tin tài khoản qua Google SSO: tên hiển thị, địa chỉ email, ảnh đại diện. Bạn quyết định tên hiển thị công khai trong phần Cài đặt.
• Nội dung bạn tạo: link sự kiện bạn gửi, hành trình bạn lưu, sự kiện bạn đánh dấu, ghi chú trong itinerary.
• Sở thích thông báo: danh mục theo dõi, đăng ký push, lựa chọn nhận email.
• IP hash + rate limit log: SHA-256 của địa chỉ IP cộng với salt nội bộ, dùng để chống spam khi gửi sự kiện. Chúng tôi không lưu IP gốc.
• Browser auth token: khi bạn liên kết extension, một token ngẫu nhiên được sinh ra và lưu trên thiết bị của bạn.

3. Mục đích sử dụng

• Hiển thị sự kiện, hành trình, hồ sơ công khai (nếu bạn bật).
• Kiểm duyệt nội dung tự động bằng AI để chặn spam, scam, nội dung bất hợp pháp.
• Gửi thông báo về sự kiện mới phù hợp với sở thích bạn đã chọn.
• Đảm bảo bảo mật và chống lạm dụng (rate limiting, dedup, audit log).
• Cải thiện chất lượng tổng hợp dữ liệu — phân tích thống kê, không gắn với danh tính cá nhân.

4. AI kiểm duyệt — self-hosted

Hệ thống AI (Llama 3 + BGE-M3) chạy trên hạ tầng tự host của VibeDest. Chúng tôi không gửi nội dung bạn nhập sang OpenAI, Anthropic, Google AI, hay bất kỳ dịch vụ AI bên thứ ba nào.

5. Bên thứ ba sử dụng

• Supabase: cơ sở dữ liệu và xác thực Google SSO.
• Vercel: hạ tầng host website.
• Cloudflare: CDN + tunnel bảo vệ kết nối tới AI server.
• Mapbox: bản đồ và geocoding địa chỉ. Toạ độ địa điểm gửi qua Mapbox được cache 90 ngày để giảm số lượng request.
• Google: chỉ cho mục đích xác thực SSO khi bạn chọn "Đăng nhập với Google".

Chúng tôi không bán dữ liệu cá nhân và không chia sẻ cho mục đích quảng cáo của bên thứ ba.

6. Cookie và lưu trữ cục bộ

Chúng tôi dùng cookie do Supabase phát hành để duy trì phiên đăng nhập (session cookie). Không có cookie quảng cáo, không có pixel theo dõi bên thứ ba. Một số tuỳ chọn UI có thể được lưu trong localStorage trên trình duyệt của bạn.

7. Nguồn dữ liệu sự kiện

Một phần dữ liệu sự kiện được tổng hợp từ các nguồn công khai (Facebook events, Eventbrite, Meetup, Ticketbox) qua trình thu thập tự động hoặc qua người dùng gửi. Chúng tôi chỉ lưu metadata công khai (tiêu đề, thời gian, địa điểm, mô tả) và link về nguồn gốc. Yêu cầu gỡ nội dung từ chính chủ sự kiện sẽ được xử lý qua email liên hệ bên dưới.

8. Quyền của bạn

• Xem và sửa dữ liệu tại Cài đặt cá nhân.
• Xoá tài khoản: gửi yêu cầu qua email; chúng tôi sẽ xoá hoặc ẩn danh toàn bộ dữ liệu cá nhân trong vòng 14 ngày, trừ các bản ghi cần giữ để chống lạm dụng.
• Revoke extension tại tab "Connected devices" trong Cài đặt.
• Tắt thông báo: bỏ chọn email/push trong Cài đặt; có thể bật lại bất kỳ lúc nào.

9. Bảo mật

Mật khẩu được xử lý hoàn toàn bởi Google (chúng tôi không lưu mật khẩu). Kết nối luôn qua HTTPS. Auth token cho extension được hash bằng SHA-256 trước khi lưu vào DB. Nếu phát hiện sự cố bảo mật, chúng tôi sẽ thông báo qua email tới các tài khoản bị ảnh hưởng trong vòng 72 giờ.

10. Trẻ em dưới 13 tuổi

VibeDest không hướng tới đối tượng dưới 13 tuổi. Nếu bạn phát hiện trẻ em đã đăng ký, vui lòng liên hệ để chúng tôi gỡ tài khoản.

11. Thay đổi chính sách

Khi cập nhật chính sách, chúng tôi sẽ thay đổi ngày ở đầu trang. Các thay đổi quan trọng sẽ được thông báo trong ứng dụng hoặc qua email.

12. Liên hệ

Câu hỏi về quyền riêng tư: support@codest.cloud