Đây là v3.0.0-alpha, đang dùng nội bộ. Trước khi MONA House public launch (Q3/2026), văn bản này sẽ được rà soát bởi luật sư + cập nhật theo thông tư hướng dẫn mới nhất của Bộ Công an về NĐ 13/2023.
01MONA thu thập gì
Khi anh đăng ký + dùng MONA House, có 3 nhóm dữ liệu phát sinh:
Dữ liệu tài khoản (anh tự nhập)
- Số điện thoại Việt Nam — bắt buộc, dùng để đăng nhập qua OTP. Đây là định danh chính của tài khoản.
- Họ tên — bắt buộc, để in lên hoá đơn + hợp đồng thuê.
- Email — không bắt buộc, dùng cho thông báo gia hạn gói cước + xuất hoá đơn VAT nếu anh cần.
- Mã chủ trọ — sinh tự động khi tạo tài khoản, dùng để khớp dữ liệu nội bộ.
Dữ liệu vận hành (anh tự nhập trong app)
- Thông tin nhà / phòng — địa chỉ, số phòng, giá, tiện ích.
- Thông tin khách thuê — tên, số điện thoại Zalo, ngày bắt đầu thuê. Số điện thoại khách thuê được mask hiển thị (ví dụ
0903***456) trên giao diện chung; số đầy đủ vẫn lưu trong DB để gửi Zalo + làm hợp đồng. - Hoá đơn — chỉ số điện nước, số tiền, mã chuyển khoản, trạng thái thanh toán.
Dữ liệu tự động (hệ thống ghi)
- Log truy cập — IP, user-agent, thời gian đăng nhập. Lưu 90 ngày để phát hiện đăng nhập bất thường.
- Log thao tác (audit trail) — ai sửa hoá đơn nào, lúc nào. Lưu vĩnh viễn theo từng tài khoản — phục vụ tranh chấp giữa anh và khách thuê nếu phát sinh.
- Dữ liệu thanh toán cổng — mã giao dịch, số tiền, ngân hàng nguồn. Lưu để đối soát.
02Dùng để làm gì
MONA House chỉ dùng dữ liệu trên cho 4 mục đích, không có cái thứ năm:
- Vận hành phần mềm cho anh — lập hoá đơn, sinh QR, gửi Zalo, đối soát thanh toán.
- Hỗ trợ khi anh gọi tổng đài — CSKH cần xem được tài khoản, hoá đơn, lịch sử để giải quyết câu hỏi của anh.
- Bảo mật + chống lạm dụng — phát hiện đăng nhập lạ, ngăn spam Zalo OA, kiểm tra phòng-chống tấn công.
- Nâng cấp sản phẩm — thống kê tổng hợp, ẩn danh (ví dụ: trung bình mỗi chủ trọ có 18 phòng) để quyết định ưu tiên tính năng mới.
03Lưu ở đâu
Toàn bộ dữ liệu lưu trong Supabase Postgres tại Singapore region (datacenter AWS Singapore). Backup hàng ngày, giữ 7 ngày backup gần nhất + snapshot tháng giữ 12 tháng. Mã hoá at-rest (AES-256) và in-transit (TLS 1.3).
File tải lên (ảnh đồng hồ điện, ảnh hợp đồng) lưu trong Supabase Storage cùng region. Truy cập có signed URL hết hạn sau 1 giờ — không public link.
04Đối tác xử lý dữ liệu
MONA House không tự build hết hạ tầng. MONA dùng các nhà cung cấp sau, mỗi bên xử lý một phần data nhất định:
| Đối tác | Xử lý gì |
|---|---|
| Supabase | Postgres DB + Auth + Storage. Region Singapore. Khôi phục 7 ngày + snapshot tháng. |
| Vercel | Hosting Next.js (web). Edge cache global, không lưu dữ liệu app. |
| eSMS / Twilio | Gửi mã OTP qua SMS — chỉ thấy số điện thoại + nội dung tin trong 24h trước khi xoá log. |
| Zalo OA | Gửi tin nhắc hoá đơn cho khách thuê. Anh phải bật + cấp quyền rõ ràng trong cài đặt. |
| BIDV / VCB / MBB / TCB | Đối tác đối soát ngân hàng — anh thanh toán gói cước qua các bank này. MONA chỉ thấy mã GD + số tiền, không thấy số tài khoản nguồn của anh. |
Tất cả 5 đối tác trên đều có hợp đồng xử lý dữ liệu (DPA) ký với MONA Software — ràng buộc bảo mật + cấm dùng data cho mục đích khác.
MONA KHÔNG bán, KHÔNG chia sẻ, KHÔNG cho thuê dữ liệu của anh cho bất kỳ bên nào ngoài 5 đối tác xử lý nêu trên. Không có ngoại lệ.
05Quyền của anh
Theo Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, anh có 6 quyền cơ bản với data của mình:
- Xem — anh xem được hết trong app phần Cài đặt → Tài khoản. Cần xem dạng JSON đầy đủ thì gửi email.
- Chỉnh sửa — sửa thẳng trong app. Số điện thoại đăng nhập đổi qua tổng đài (cần verify danh tính).
- Xoá — gửi yêu cầu qua [email protected] kèm SĐT đăng ký. MONA xử lý trong 14 ngày làm việc. Sau khi xoá, dữ liệu mất vĩnh viễn — MONA không khôi phục được.
- Xuất data — xuất CSV/JSON toàn bộ data của tài khoản. Free trong 12 tháng đầu, sau đó 50.000đ / lần.
- Hạn chế xử lý — anh có thể tạm dừng auto-renew, tắt Zalo OA, tắt log truy cập tăng cường (nếu đang bật).
- Khiếu nại — gửi DPO qua [email protected]. Nếu MONA không xử lý thoả đáng trong 30 ngày, anh có quyền khiếu nại lên Cục An toàn Thông tin (Bộ TT&TT).
Khi anh yêu cầu xoá, MONA giữ log audit trong 12 tháng cuối (không có thông tin cá nhân, chỉ ID + timestamp) để bảo vệ MONA trong trường hợp tranh chấp pháp lý. Sau 12 tháng log audit cũng được anonymise hoàn toàn.
06Cookie & tracking
MONA House dùng tối thiểu cookie cần thiết:
sb-access-token,sb-refresh-token— Supabase Auth, để anh không phải đăng nhập lại mỗi lần mở app. HttpOnly + Secure + SameSite=Lax.mona-theme— lưu lựa chọn light/dark nếu sau này có dark mode. Hết hạn sau 1 năm.
KHÔNG có Google Analytics, Facebook Pixel, hay bất kỳ tracker bên thứ ba nào. Phân tích sử dụng (page views, lỗi JS) chạy trên server tự host của MONA, không gửi dữ liệu ra ngoài.
07Trẻ em
MONA House là sản phẩm B2B cho chủ trọ — không hướng tới người dùng dưới 16 tuổi. Nếu phát hiện tài khoản đăng ký bởi người dưới tuổi, MONA sẽ khoá ngay + xoá data trong 7 ngày.
08Khi đổi chính sách
Khi MONA cập nhật chính sách này, MONA sẽ:
- Đăng version mới + ghi rõ ngày cập nhật ở đầu trang.
- Gửi email + Zalo OA cho anh 30 ngày trước khi thay đổi có hiệu lực (nếu thay đổi liên quan đến quyền của anh).
- Lưu version cũ + diff để anh xem lại — yêu cầu qua DPO email.
09Liên hệ Data Protection Officer
Anh có câu hỏi, khiếu nại, hoặc yêu cầu liên quan đến dữ liệu cá nhân — gửi cho DPO của MONA Software:
- Email: [email protected] — phản hồi trong 5 ngày làm việc.
- Hotline: 1900 636 648 — yêu cầu nối DPO, 7h–22h hàng ngày.
- Văn phòng: Tầng 4, Sư Vạn Hạnh, P.13, Q.10, TP.HCM. Ghé chơi gọi điện trước.
Bản v3.0.0-alpha — cập nhật 07.05.2026. Document tham chiếu: Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, hiệu lực 01.07.2023.