Flowctory
Flowctory
Bảng giáĐiều khoảnQuyền riêng tư

Chính sách Quyền riêng tư

Cập nhật lần cuối: Ngày 12 tháng 5 năm 2026

Mục lục

  1. Giới thiệu
  2. Thông tin Chúng tôi Thu thập
  3. Cơ sở Pháp lý cho việc Xử lý Dữ liệu (GDPR)
  4. Cách Chúng tôi Sử dụng Thông tin của Bạn
  5. Cách Chúng tôi Chia sẻ Thông tin của Bạn
  6. Lưu trữ Dữ liệu
  7. Quyền của Bạn (GDPR)
  8. Quyền Riêng tư tại California (CCPA)
  9. Chuyển giao Dữ liệu Quốc tế
  10. Cookie
  11. Bảo mật
  12. Quyền riêng tư của Trẻ em
  13. Cập nhật Chính sách này
  14. Thông tin Liên hệ

1. Giới thiệu

Flowctory ("chúng tôi") cam kết bảo vệ quyền riêng tư của bạn. Chính sách Quyền riêng tư này giải thích cách chúng tôi thu thập, sử dụng, tiết lộ và bảo vệ thông tin cá nhân của bạn khi bạn sử dụng trang web và dịch vụ của chúng tôi (gọi chung là "Dịch vụ").

Bằng việc sử dụng Dịch vụ, bạn đồng ý với việc thu thập và sử dụng thông tin theo Chính sách Quyền riêng tư này. Nếu bạn không đồng ý với các chính sách và cách thức hoạt động của chúng tôi, vui lòng không sử dụng Dịch vụ.

Chính sách Quyền riêng tư này nên được đọc cùng với Điều khoản Dịch vụ.

2. Thông tin Chúng tôi Thu thập

2.1 Thông tin Tài khoản

Khi bạn đăng ký tài khoản Flowctory, chúng tôi thu thập và lưu trữ:

  • Địa chỉ Email: Địa chỉ email của bạn, được dùng để xác định tài khoản và liên lạc
  • Mật khẩu: Nếu bạn đăng ký bằng email, mật khẩu của bạn được băm (hash) an toàn (chúng tôi không bao giờ lưu trữ mật khẩu dạng văn bản thuần)
  • Tên Hiển thị: Tên của bạn, do bạn cung cấp hoặc lấy từ nhà cung cấp đăng nhập mạng xã hội (Google)
  • URL Ảnh Đại diện: URL ảnh đại diện của bạn, nếu được cung cấp bởi nhà cung cấp đăng nhập mạng xã hội
  • Múi giờ: Múi giờ ưa thích của bạn để hiển thị ngày và giờ

Bạn có thể đăng ký và đăng nhập bằng email và mật khẩu, hoặc thông qua Google OAuth. Google OAuth chỉ được dùng để xác thực; các tài khoản lưu trữ đám mây được kết nối riêng biệt.

2.4 Nội dung Phương tiện

Chúng tôi xử lý một số loại nội dung phương tiện thông qua Dịch vụ:

  • Khi bạn tải lên một video hoặc hình ảnh, tệp đó được lưu trữ tạm thời trên máy chủ của chúng tôi chỉ nhằm mục đích cung cấp Dịch vụ. Các tệp đã tải lên sẽ tự động bị xóa khỏi máy chủ của chúng tôi trong vòng 24 giờ kể từ khi tải lên hoặc sau khi xử lý thành công.
  • Bạn có thể tải hình ảnh và video lên một thư viện lâu dài được lưu trữ trong lưu trữ đám mây Supabase. Các tệp này được giữ lại cho đến khi bạn xóa chúng và có thể được sử dụng làm dữ liệu đầu vào cho các quy trình tạo nội dung AI.
  • Hình ảnh và video được tạo thông qua các tính năng AI của Canvas được lưu trữ trong lưu trữ đám mây Supabase và liên kết với tài khoản của bạn. Nội dung được tạo ra sẽ được giữ lại cho đến khi bạn xóa nó hoặc tài khoản của bạn bị đóng.

2.5 Kết nối Lưu trữ Đám mây

Khi bạn kết nối một nhà cung cấp lưu trữ đám mây (Google Drive, Dropbox), chúng tôi thu thập và lưu trữ:

  • Địa chỉ Email: Địa chỉ email liên kết với tài khoản lưu trữ đám mây của bạn
  • Tên Hiển thị: Tên hiển thị của bạn trên nhà cung cấp lưu trữ đám mây
  • Nhà cung cấp Lưu trữ: Token truy cập và làm mới OAuth (đã mã hóa) để truy cập lưu trữ đám mây của bạn thay mặt bạn
  • Tùy chọn thư mục của bạn để duyệt tệp và điểm đến lưu tự động

Kết nối lưu trữ đám mây được sử dụng để nhập tệp vào Flowctory và tùy chọn tự động lưu nội dung được tạo ra vào thư mục đám mây ưa thích của bạn.

2.6 Dữ liệu Nội dung do AI Tạo ra

Khi bạn sử dụng các tính năng AI của Canvas để tạo hình ảnh hoặc video, chúng tôi thu thập và xử lý:

  • Lời nhắc văn bản (prompt) và các tham số tạo nội dung mà bạn cung cấp
  • Hình ảnh bạn chọn từ thư viện của mình hoặc tải lên để xử lý AI
  • Hình ảnh và video được tạo ra, lưu trữ trong lưu trữ đám mây Supabase
  • Chúng tôi không sử dụng bất kỳ dữ liệu đầu vào hoặc đầu ra nào trong số này để huấn luyện các mô hình AI, và các nhà cung cấp AI của chúng tôi đã đồng ý không sử dụng chúng để huấn luyện các mô hình AI đa dụng

Lời nhắc và hình ảnh tham chiếu của bạn được truyền qua TLS đến các nhà cung cấp xử lý AI của chúng tôi (hiện tại là kie.ai và xAI) chỉ nhằm thực hiện yêu cầu tạo nội dung của bạn. Kết quả đầu ra được tạo ra sẽ được lưu trữ trong tài khoản của bạn trên lưu trữ Supabase cho đến khi bạn xóa chúng hoặc đóng tài khoản của mình.

Xem Mục 5.3 (Nhà cung cấp Tạo nội dung AI) để biết danh sách các nhà cung cấp xử lý AI và cam kết không huấn luyện.

2.8 Dữ liệu Kỹ thuật và Sử dụng

Chúng tôi tự động thu thập một số thông tin kỹ thuật khi bạn sử dụng Dịch vụ:

  • Địa chỉ IP
  • Loại và phiên bản trình duyệt
  • Thông tin thiết bị
  • Dấu thời gian truy cập
  • Nhật ký lỗi và dữ liệu chẩn đoán

Chúng tôi không sử dụng dịch vụ phân tích hoặc công cụ theo dõi của bên thứ ba.

3. Cơ sở Pháp lý cho việc Xử lý Dữ liệu (GDPR)

Nếu bạn ở Khu vực Kinh tế Châu Âu (EEA), Vương quốc Anh, hoặc Thụy Sĩ, chúng tôi xử lý dữ liệu cá nhân của bạn dựa trên các căn cứ pháp lý sau:

3.1 Thực hiện Hợp đồng

Việc xử lý là cần thiết để cung cấp Dịch vụ cho bạn, bao gồm:

  • Tạo và quản lý tài khoản Flowctory của bạn
  • Tải lên và xử lý nội dung phương tiện của bạn
  • Kết nối tài khoản lưu trữ đám mây của bạn (Google Drive, Dropbox) để nhập tệp và tự động lưu
  • Kết nối các dịch vụ bên thứ ba (lưu trữ đám mây, nhà cung cấp AI) thay mặt bạn
  • Tạo hình ảnh và video thông qua các tính năng AI của Canvas bằng lời nhắc và phương tiện của bạn
  • Xử lý thanh toán và quản lý gói đăng ký

3.2 Lợi ích Hợp pháp

Chúng tôi xử lý một số dữ liệu dựa trên lợi ích hợp pháp của mình, bao gồm:

  • Cải thiện và bảo mật Dịch vụ
  • Khắc phục sự cố kỹ thuật
  • Ngăn chặn gian lận và lạm dụng

3.3 Nghĩa vụ Pháp lý

Chúng tôi có thể xử lý dữ liệu của bạn khi pháp luật yêu cầu, chẳng hạn như phản hồi các yêu cầu pháp lý hoặc tuân thủ các quy định hiện hành.

3.4 Sự Đồng ý

Khi cần thiết, chúng tôi sẽ xin sự đồng ý rõ ràng của bạn trước khi xử lý dữ liệu của bạn. Bạn có thể rút lại sự đồng ý bất kỳ lúc nào.

4. Cách Chúng tôi Sử dụng Thông tin của Bạn

Chúng tôi sử dụng thông tin đã thu thập để:

  • Cung cấp, duy trì, và cải thiện Dịch vụ
  • Xác thực bạn và quản lý tài khoản Flowctory của bạn
  • Kết nối các dịch vụ bên thứ ba (lưu trữ đám mây, nhà cung cấp AI) thay mặt bạn
  • Tải lên và xử lý nội dung phương tiện bạn gửi
  • Tạo hình ảnh và video bằng AI thông qua các tính năng Canvas của chúng tôi
  • Kết nối tài khoản lưu trữ đám mây của bạn để nhập tệp và tự động lưu nội dung được tạo ra
  • Xử lý thanh toán và quản lý gói đăng ký của bạn
  • Hiển thị lịch sử và trạng thái tạo nội dung trong ứng dụng
  • Khắc phục sự cố với các lượt tải lên thất bại
  • Liên lạc với bạn về Dịch vụ (thông báo dịch vụ, cảnh báo bảo mật)
  • Phát hiện, ngăn chặn, và xử lý các vấn đề kỹ thuật, gian lận, hoặc lạm dụng
  • Tuân thủ các nghĩa vụ pháp lý

Chúng tôi không sử dụng thông tin cá nhân của bạn cho mục đích quảng cáo hoặc bán cho bên thứ ba.

5. Cách Chúng tôi Chia sẻ Thông tin của Bạn

Chúng tôi chỉ chia sẻ thông tin của bạn trong các trường hợp sau:

5.2 Nhà cung cấp Lưu trữ Đám mây

Khi bạn kết nối một dịch vụ lưu trữ đám mây, chúng tôi chia sẻ dữ liệu xác thực cần thiết với nhà cung cấp để truy cập tệp của bạn thay mặt bạn:

Google Drive

Chúng tôi sử dụng Google Drive API để duyệt tệp của bạn và tùy chọn lưu nội dung được tạo ra. Cách Google xử lý dữ liệu của bạn chịu sự điều chỉnh của Chính sách Quyền riêng tư của Google.

Dropbox

Chúng tôi sử dụng Dropbox API để duyệt tệp của bạn và tùy chọn lưu nội dung được tạo ra. Cách Dropbox xử lý dữ liệu của bạn chịu sự điều chỉnh của Chính sách Quyền riêng tư của Dropbox.

5.3 Nhà cung cấp Tạo nội dung AI

Khi bạn sử dụng các tính năng AI của Canvas, lời nhắc, tham số tạo nội dung, và bất kỳ hình ảnh tham chiếu nào bạn tải lên sẽ được truyền qua TLS đến một hoặc nhiều nhà cung cấp xử lý AI sau, tùy thuộc vào mô hình bạn chọn:

kie.ai

kie.ai đại diện cho nhiều họ mô hình AI (bao gồm Veo, Seedream, Runway, và các mô hình khác) để tạo hình ảnh và video. Lời nhắc, tham số tạo nội dung, và hình ảnh tham chiếu đã tải lên của bạn được gửi đến kie.ai để xử lý. kie.ai chỉ xử lý dữ liệu của bạn nhằm thực hiện yêu cầu tạo nội dung và không sử dụng dữ liệu đó để huấn luyện các mô hình AI đa dụng. Xem điều khoản và chính sách quyền riêng tư của kie.ai tại kie.ai.

xAI (Grok Imagine)

xAI được sử dụng để tạo hình ảnh và video Grok Imagine. Lời nhắc và bất kỳ hình ảnh nào bạn tải lên được gửi đến xAI để xử lý. Theo chính sách dữ liệu doanh nghiệp của xAI, dữ liệu đầu vào API không được sử dụng để huấn luyện các mô hình xAI theo mặc định. Xem chính sách quyền riêng tư của xAI tại x.ai/legal/privacy-policy.

Không Huấn luyện trên Dữ liệu Đầu vào của Bạn

Cả Flowctory và bất kỳ nhà cung cấp xử lý AI nào của chúng tôi đều không sử dụng lời nhắc, hình ảnh tham chiếu đã tải lên, hoặc kết quả đầu ra được tạo ra của bạn để huấn luyện các mô hình AI.

Lưu trữ bởi Nhà cung cấp AI

Các nhà cung cấp AI thường chỉ giữ lại dữ liệu đầu vào trong suốt thời gian xử lý cộng với một khoảng thời gian ngắn để phòng chống lạm dụng (thường lên đến 30 ngày) rồi xóa chúng. Chúng tôi lưu trữ riêng các kết quả đầu ra được tạo ra mà bạn giữ lại, như được mô tả trong Mục 6 (Lưu trữ Dữ liệu).

Nơi Xử lý AI Diễn ra

Các nhà cung cấp AI có thể xử lý dữ liệu của bạn tại Hoa Kỳ hoặc các khu vực pháp lý khác bên ngoài EEA. Việc chuyển giao dữ liệu quốc tế chịu sự điều chỉnh của các biện pháp bảo vệ phù hợp (Điều khoản Hợp đồng Chuẩn hoặc tương đương) như được mô tả trong Mục 9 (Chuyển giao Dữ liệu Quốc tế).

Hệ thống An toàn của Nhà cung cấp

Các nhà cung cấp AI vận hành hệ thống an toàn và phòng chống lạm dụng tự động có thể kiểm tra lời nhắc và hình ảnh tham chiếu để phát hiện nội dung bị cấm (ví dụ: tài liệu lạm dụng tình dục trẻ em). Các hệ thống này do nhà cung cấp vận hành; Flowctory không kiểm soát chúng.

5.4 Nhà cung cấp Dịch vụ

Chúng tôi sử dụng các nhà cung cấp dịch vụ bên thứ ba đáng tin cậy để hỗ trợ vận hành Dịch vụ:

  • Bộ xử lý Thanh toán: Chúng tôi sử dụng Stripe để xử lý thanh toán và quản lý gói đăng ký. Stripe nhận trực tiếp thông tin thanh toán của bạn (chi tiết thẻ, địa chỉ thanh toán). Chúng tôi không lưu trữ đầy đủ chi tiết thẻ của bạn. Cách Stripe xử lý dữ liệu của bạn chịu sự điều chỉnh của Chính sách Quyền riêng tư của Stripe.
  • Chúng tôi sử dụng Supabase để lưu trữ tệp trên đám mây. Các tệp thư viện và nội dung do AI tạo ra của bạn được lưu trữ trên cơ sở hạ tầng Supabase. Cách Supabase xử lý dữ liệu của bạn chịu sự điều chỉnh của chính sách quyền riêng tư của họ.
  • Nhà cung cấp Lưu trữ Máy chủ: Máy chủ của chúng tôi được lưu trữ trên cơ sở hạ tầng có thể truy cập nhật ký máy chủ và dữ liệu kỹ thuật cần thiết để cung cấp dịch vụ lưu trữ.
  • Nhà cung cấp Cơ sở dữ liệu: Chúng tôi sử dụng PostgreSQL để lưu trữ dữ liệu. Toàn bộ dữ liệu được mã hóa khi lưu trữ.

Các nhà cung cấp này có nghĩa vụ theo hợp đồng phải bảo vệ thông tin của bạn và chỉ được sử dụng thông tin đó để cung cấp dịch vụ cho chúng tôi.

5.5 Yêu cầu Pháp lý

Chúng tôi có thể tiết lộ thông tin của bạn nếu pháp luật yêu cầu hoặc để phản hồi các yêu cầu pháp lý hợp lệ từ cơ quan công quyền (ví dụ: lệnh của tòa án, trát đòi hầu tòa).

5.6 Chuyển giao Doanh nghiệp

Nếu Flowctory tham gia vào một vụ sáp nhập, mua lại, hoặc bán tài sản, thông tin của bạn có thể được chuyển giao như một phần của giao dịch đó. Chúng tôi sẽ thông báo cho bạn về bất kỳ thay đổi nào như vậy và các lựa chọn bạn có thể có liên quan đến thông tin của mình.

5.7 Không Bán Dữ liệu Cá nhân

Chúng tôi không bán, cho thuê, hoặc trao đổi thông tin cá nhân của bạn cho bên thứ ba vì mục đích tiếp thị của họ.

6. Lưu trữ Dữ liệu

Chúng tôi lưu trữ thông tin của bạn trong khoảng thời gian cần thiết để cung cấp Dịch vụ và thực hiện các mục đích được mô tả trong Chính sách Quyền riêng tư này:

Loại Dữ liệuThời gian Lưu trữ
Dữ liệu tài khoản (email, thông tin hồ sơ)Cho đến khi bạn xóa tài khoản
Tệp phương tiện đã tải lênBị xóa trong vòng 24 giờ kể từ khi tải lên hoặc xử lý thành công
Dữ liệu kết nối lưu trữ đám mâyCho đến khi bạn ngắt kết nối tài khoản lưu trữ đám mây hoặc xóa tài khoản Flowctory
Nội dung do AI tạo ra và tệp thư việnCho đến khi bạn xóa nội dung hoặc tài khoản của bạn bị đóng
Nhật ký xử lý của nhà cung cấp AI (lời nhắc, hình ảnh tham chiếu)Chỉ được lưu tại nhà cung cấp trong quá trình xử lý và một khoảng thời gian ngắn để phòng chống lạm dụng (thường lên đến 30 ngày), sau đó bị xóa. Kết quả đầu ra được tạo ra vẫn được lưu trữ như trên.
Dữ liệu gói đăng ký & thanh toánCho đến khi bạn xóa tài khoản (chi tiết thanh toán được lưu trữ bởi Stripe)
Nhật ký máy chủ30 ngày

7. Quyền của Bạn (GDPR)

Nếu bạn ở Khu vực Kinh tế Châu Âu (EEA), Vương quốc Anh, hoặc Thụy Sĩ, bạn có các quyền sau theo Quy định Bảo vệ Dữ liệu Chung (GDPR):

7.1 Quyền Truy cập

Bạn có quyền yêu cầu một bản sao dữ liệu cá nhân mà chúng tôi lưu giữ về bạn.

7.2 Quyền Chỉnh sửa

Bạn có quyền yêu cầu chỉnh sửa bất kỳ dữ liệu cá nhân không chính xác nào mà chúng tôi lưu giữ về bạn.

7.3 Quyền Xóa ("Quyền được Lãng quên")

Bạn có quyền yêu cầu xóa dữ liệu cá nhân của mình trong một số trường hợp nhất định, chẳng hạn như khi dữ liệu không còn cần thiết cho các mục đích mà nó được thu thập.

7.4 Quyền Di chuyển Dữ liệu

Bạn có quyền nhận dữ liệu cá nhân của mình ở định dạng có cấu trúc, được sử dụng phổ biến, và có thể đọc được bằng máy, và truyền dữ liệu đó cho một bên kiểm soát dữ liệu khác.

7.5 Quyền Phản đối

Bạn có quyền phản đối việc xử lý dữ liệu cá nhân của mình dựa trên lợi ích hợp pháp của chúng tôi.

7.6 Quyền Hạn chế Xử lý

Bạn có quyền yêu cầu chúng tôi hạn chế việc xử lý dữ liệu cá nhân của mình trong một số trường hợp nhất định.

7.7 Quyền Rút lại Sự Đồng ý

Trong trường hợp chúng tôi dựa vào sự đồng ý của bạn để xử lý dữ liệu cá nhân, bạn có quyền rút lại sự đồng ý đó bất kỳ lúc nào. Điều này không ảnh hưởng đến tính hợp pháp của việc xử lý dựa trên sự đồng ý trước khi rút lại.

7.8 Quyền Khiếu nại

Bạn có quyền khiếu nại với cơ quan giám sát. Tại Pháp, cơ quan giám sát là Ủy ban Quốc gia về Tin học và Tự do (Commission Nationale de l'Informatique et des Libertés - CNIL): www.cnil.fr.

Nội dung do AI Tạo ra và Quyết định Tự động

Các tính năng AI của Canvas tạo nội dung theo yêu cầu của bạn; chúng không đưa ra các quyết định tự động gây ra hệ quả pháp lý đối với bạn hoặc ảnh hưởng đáng kể đến bạn. Bạn có thể ngừng sử dụng các tính năng AI bất kỳ lúc nào, và bạn có thể xóa bất kỳ nội dung được tạo ra nào khỏi tài khoản của mình bất kỳ lúc nào.

7.9 Thực hiện Quyền của Bạn

Để thực hiện bất kỳ quyền nào trong số này, vui lòng liên hệ với chúng tôi tại contact@flowctory.com. Chúng tôi sẽ phản hồi yêu cầu của bạn trong vòng 30 ngày.

8. Quyền Riêng tư tại California (CCPA)

Nếu bạn là cư dân California, bạn có các quyền cụ thể theo Đạo luật Quyền riêng tư của Người tiêu dùng California (CCPA):

8.1 Quyền được Biết

Bạn có quyền yêu cầu chúng tôi tiết lộ:

  • Các danh mục thông tin cá nhân chúng tôi đã thu thập về bạn
  • Các danh mục nguồn mà chúng tôi đã thu thập thông tin
  • Mục đích kinh doanh hoặc thương mại của việc thu thập thông tin
  • Các danh mục bên thứ ba mà chúng tôi chia sẻ thông tin
  • Các phần thông tin cá nhân cụ thể chúng tôi đã thu thập về bạn

8.2 Quyền Xóa

Bạn có quyền yêu cầu chúng tôi xóa thông tin cá nhân chúng tôi đã thu thập từ bạn, tùy theo một số ngoại lệ nhất định.

8.3 Quyền Từ chối Bán Dữ liệu

Bạn có quyền từ chối việc bán thông tin cá nhân của mình. Tuy nhiên, Flowctory không bán thông tin cá nhân.

8.4 Quyền Không bị Phân biệt Đối xử

Chúng tôi sẽ không phân biệt đối xử với bạn vì đã thực hiện bất kỳ quyền CCPA nào của mình. Chúng tôi sẽ không từ chối cung cấp hàng hóa hoặc dịch vụ cho bạn, tính giá khác, hoặc cung cấp cho bạn mức độ dịch vụ khác vì bạn đã thực hiện các quyền của mình.

8.5 Thực hiện Quyền của Bạn

Để thực hiện các quyền CCPA của bạn, vui lòng liên hệ với chúng tôi tại contact@flowctory.com. Chúng tôi sẽ xác minh danh tính của bạn trước khi xử lý yêu cầu.

9. Chuyển giao Dữ liệu Quốc tế

Flowctory có trụ sở tại Pháp (Liên minh Châu Âu). Nếu bạn truy cập Dịch vụ từ bên ngoài EU, xin lưu ý rằng thông tin của bạn có thể được chuyển giao đến, lưu trữ, và xử lý tại EU.

Khi chuyển giao dữ liệu cá nhân ra ngoài EEA, chúng tôi đảm bảo có các biện pháp bảo vệ phù hợp, chẳng hạn như:

  • Chuyển giao đến các quốc gia có quyết định đầy đủ (adequacy decision) của EU
  • Điều khoản Hợp đồng Chuẩn được Ủy ban Châu Âu phê duyệt
  • Các cơ chế chuyển giao khác được pháp luật công nhận

Các tính năng AI của Canvas có thể truyền lời nhắc và hình ảnh tham chiếu của bạn đến các nhà cung cấp xử lý AI đặt tại Hoa Kỳ. Chúng tôi dựa vào các biện pháp bảo vệ nêu trên cho các lượt chuyển giao này.

Các dịch vụ bên thứ ba mà chúng tôi tích hợp (nhà cung cấp lưu trữ đám mây, nhà cung cấp AI, Stripe) có thể chuyển giao dữ liệu của bạn ra quốc tế theo chính sách quyền riêng tư riêng của họ.

10. Cookie

Chúng tôi sử dụng các cookie thực sự cần thiết để vận hành Dịch vụ. Tất cả cookie đều thiết yếu cho việc xác thực và bảo mật. Chúng tôi không sử dụng cookie theo dõi, quảng cáo, hoặc phân tích.

10.1 Tổng quan Cookie

Bảng sau đây liệt kê tất cả cookie được Flowctory sử dụng:

Tên CookieMục đíchThời hạnLoại
authjs.session-tokenDuy trì phiên đăng nhập của bạn (NextAuth)30 minThiết yếu
authjs.csrf-tokenBảo vệ CSRF cho xác thựcPhiênThiết yếu
authjs.callback-urlXử lý chuyển hướng OAuthPhiênThiết yếu
flowctory_pending_{platform}_connectionLưu trữ tạm thời trong quá trình kết nối nền tảng10 minThiết yếu
{platform}_oauth_stateBảo vệ CSRF cho OAuth nền tảng10 minThiết yếu
{platform}_code_verifierMã xác minh PKCE cho OAuth nền tảng10 minThiết yếu
{provider}_oauth_stateBảo vệ CSRF cho OAuth lưu trữ đám mây10 minThiết yếu
{provider}_code_verifierMã xác minh PKCE cho OAuth lưu trữ đám mây10 minThiết yếu
NEXT_LOCALELưu trữ tùy chọn ngôn ngữ của bạn1 yearTùy chọn

Lưu ý: Trong môi trường production, cookie xác thực sử dụng tiền tố __Secure- và các cookie khác sử dụng tiền tố __Host- để tăng cường bảo mật, yêu cầu HTTPS và ngăn chặn truy cập xuyên trang (cross-site).

10.2 Cookie Phiên

Cookie authjs.session-token duy trì phiên đã xác thực của bạn. Cookie này:

  • Chỉ HTTP (HTTP-only, không truy cập được qua JavaScript) và an toàn (chỉ HTTPS trong môi trường production)
  • Sử dụng SameSite=lax để bảo vệ chống CSRF
  • Hết hạn sau 30 phút không hoạt động (phiên trượt - sliding session)
  • Chứa một JWT đã ký với ID người dùng, email, và múi giờ của bạn
  • Thực sự cần thiết để Dịch vụ hoạt động

10.3 Cookie Luồng OAuth

Khi kết nối một dịch vụ lưu trữ đám mây, chúng tôi tạm thời lưu trữ trạng thái OAuth và dữ liệu xác minh trong cookie (ví dụ: gdrive_oauth_state, gdrive_code_verifier, dropbox_oauth_state, dropbox_code_verifier, flowctory_pending_connection). Các cookie này:

  • Chỉ HTTP (HTTP-only) và an toàn (trong môi trường production)
  • Hết hạn sau 10 phút
  • Tự động bị xóa sau khi luồng OAuth hoàn tất
  • Bảo vệ chống tấn công CSRF và đảm bảo an toàn OAuth (PKCE)

10.4 Không có Cookie Theo dõi

Chúng tôi không sử dụng cookie theo dõi, cookie quảng cáo, hoặc công cụ phân tích của bên thứ ba.

10.5 Tùy chọn Cookie

Vì chúng tôi chỉ sử dụng các cookie thực sự cần thiết để Dịch vụ hoạt động, sự đồng ý cookie không bắt buộc theo GDPR. Tuy nhiên, bạn có thể cấu hình trình duyệt của mình để từ chối cookie, nhưng điều này sẽ khiến bạn không thể sử dụng Dịch vụ.

11. Bảo mật

Chúng tôi áp dụng các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ thông tin cá nhân của bạn khỏi việc truy cập, thay đổi, tiết lộ, hoặc phá hủy trái phép:

  • Mã hóa khi Truyền tải: Mọi giao tiếp đều sử dụng mã hóa HTTPS/TLS
  • Mã hóa khi Lưu trữ: Dữ liệu nhạy cảm được mã hóa khi lưu trữ bằng AES-256-GCM trong cơ sở dữ liệu của chúng tôi
  • Xác thực An toàn: Token OAuth được lưu trữ và quản lý an toàn
  • Kiểm soát Truy cập: Hạn chế quyền truy cập dữ liệu cá nhân theo nguyên tắc cần biết (need-to-know). Nhân viên Flowctory không truy cập dữ liệu thu được thông qua Google API Services trừ khi: (a) bạn đã cung cấp sự đồng ý rõ ràng để xem dữ liệu cụ thể, (b) việc đó cần thiết cho mục đích bảo mật như điều tra lạm dụng hoặc sự cố bảo mật, hoặc (c) chúng tôi bắt buộc phải làm vậy theo pháp luật hiện hành
  • Cập nhật Thường xuyên: Cơ sở hạ tầng và các phụ thuộc được cập nhật thường xuyên

Mặc dù chúng tôi nỗ lực bảo vệ thông tin cá nhân của bạn, không có phương thức truyền tải qua Internet hoặc lưu trữ điện tử nào an toàn tuyệt đối 100%. Nếu bạn có lý do để tin rằng tương tác của bạn với chúng tôi không còn an toàn, vui lòng liên hệ với chúng tôi ngay lập tức.

12. Quyền riêng tư của Trẻ em

Dịch vụ không dành cho trẻ em dưới 16 tuổi tại Liên minh Châu Âu hoặc dưới 13 tuổi tại các khu vực pháp lý khác. Chúng tôi không cố ý thu thập thông tin cá nhân từ trẻ em dưới các độ tuổi này.

Nếu bạn là cha mẹ hoặc người giám hộ và tin rằng con của bạn đã cung cấp cho chúng tôi thông tin cá nhân, vui lòng liên hệ với chúng tôi tại contact@flowctory.com. Nếu chúng tôi phát hiện đã thu thập thông tin cá nhân từ một trẻ em mà không có xác minh sự đồng ý của cha mẹ, chúng tôi sẽ thực hiện các biện pháp để xóa thông tin đó.

13. Cập nhật Chính sách này

Chúng tôi có thể cập nhật Chính sách Quyền riêng tư này theo thời gian để phản ánh các thay đổi trong cách thức hoạt động của chúng tôi hoặc vì lý do pháp lý, vận hành, hoặc quy định. Khi chúng tôi thực hiện thay đổi:

  • Chúng tôi sẽ cập nhật ngày "Cập nhật lần cuối" ở đầu chính sách này
  • Đối với các thay đổi quan trọng, chúng tôi sẽ gửi thông báo thông qua Dịch vụ hoặc qua email
  • Chúng tôi sẽ xin sự đồng ý của bạn khi pháp luật hiện hành yêu cầu

Chúng tôi khuyến khích bạn xem lại Chính sách Quyền riêng tư này định kỳ để cập nhật thông tin về cách thức xử lý dữ liệu của chúng tôi.

14. Thông tin Liên hệ

Nếu bạn có bất kỳ câu hỏi, thắc mắc, hoặc yêu cầu nào liên quan đến Chính sách Quyền riêng tư này hoặc cách thức xử lý dữ liệu của chúng tôi, vui lòng liên hệ với chúng tôi tại:

Flowctory
Cancale, Pháp
Email: contact@flowctory.com

Cơ quan Bảo vệ Dữ liệu

Nếu bạn ở EU và có thắc mắc về cách thức xử lý dữ liệu của chúng tôi, bạn có thể liên hệ với cơ quan bảo vệ dữ liệu của Pháp (CNIL) tại www.cnil.fr.