Chính sách Bảo mật

1. Giới thiệu

Chào mừng đến với Makeup DNA ("chúng tôi"). Chúng tôi cam kết bảo vệ thông tin cá nhân và quyền riêng tư của bạn. Chính sách Bảo mật này giải thích cách chúng tôi thu thập, sử dụng, tiết lộ, lưu trữ và bảo vệ thông tin của bạn khi bạn truy cập trang web makeupdna.ai, sử dụng ứng dụng di động Makeup DNA trên iOS và Android, và sử dụng các dịch vụ liên quan (gọi chung là "Dịch vụ").

Vui lòng đọc kỹ Chính sách Bảo mật này. Bằng cách sử dụng Dịch vụ, bạn đồng ý với việc thu thập, sử dụng và tiết lộ thông tin của bạn như được mô tả trong chính sách này. Nếu bạn không đồng ý với các điều khoản của Chính sách Bảo mật này, vui lòng không truy cập hoặc sử dụng Dịch vụ.

2. Thông tin chúng tôi thu thập

Chúng tôi thu thập các loại thông tin khác nhau tùy thuộc vào cách bạn tương tác với Dịch vụ:

2.1 Thông tin cá nhân bạn cung cấp

• Địa chỉ email: Khi bạn tạo tài khoản hoặc hoàn thành bài kiểm tra
• Thông tin thanh toán: Chi tiết thẻ tín dụng và thông tin thanh toán được xử lý và lưu trữ trực tiếp bởi các đơn vị xử lý thanh toán của chúng tôi, Stripe và Revolut. Chúng tôi không lưu trữ số thẻ đầy đủ của bạn trên máy chủ.
• Ảnh và selfie: Hình ảnh bạn chụp hoặc tải lên để tạo phong cách trang điểm cá nhân hóa

2.2 Dữ liệu phản hồi bài kiểm tra

Khi bạn hoàn thành bài kiểm tra làm đẹp cá nhân hóa, chúng tôi thu thập phản hồi bao gồm:

• Độ tuổi
• Tông da và các vấn đề về da
• Màu mắt
• Kỹ năng và kinh nghiệm trang điểm
• Quy trình và sản phẩm trang điểm hiện đang sở hữu
• Thách thức và mục tiêu trang điểm
• Dịp và phong cách trang điểm ưa thích
• Trải nghiệm và sở thích xem hướng dẫn
• Mức độ thoải mái cá nhân và khát vọng liên quan đến trang điểm

2.3 Thông tin được thu thập tự động

• Địa chỉ IP: Thu thập khi bạn gửi bài kiểm tra hoặc tương tác với Dịch vụ
• User agent: Loại trình duyệt, phiên bản và thông tin hệ điều hành
• Thông tin thiết bị: Loại thiết bị, độ phân giải màn hình và khả năng trình duyệt
• Dữ liệu sử dụng: Các trang đã truy cập, tính năng đã sử dụng, thời gian dành cho các trang, mẫu nhấp chuột và dữ liệu tương tác
• Dữ liệu giới thiệu: Cách bạn đến trang web, bao gồm URL giới thiệu và mã nhận dạng chiến dịch quảng cáo

2.4 Cookie và mã nhận dạng theo dõi

• Cookie xác thực: Dùng để quản lý phiên đăng nhập của bạn
• Cookie quảng cáo: Được thiết lập bởi đối tác quảng cáo để xác định trình duyệt và quy kết nhấp chuột quảng cáo
• Cookie tạm thời: Dùng cho quy trình đăng ký tài khoản (ví dụ: liên kết kết quả bài kiểm tra với tài khoản của bạn)

3. Cách chúng tôi sử dụng thông tin của bạn

Chúng tôi sử dụng thông tin thu thập được cho các mục đích sau:

3.1 Cung cấp dịch vụ

• Tạo phong cách trang điểm cá nhân hóa bằng AI dựa trên selfie và phản hồi bài kiểm tra của bạn
• Cung cấp hướng dẫn trang điểm, mẹo và gợi ý sản phẩm phù hợp
• Thực hiện phát hiện khuôn mặt trên thiết bị trong quá trình chụp selfie để giúp bạn định khung ảnh. Phát hiện này là tạm thời và không bao giờ rời khỏi thiết bị của bạn (xem Mục 4).
• Tạo và quản lý tài khoản người dùng của bạn
• Xử lý thanh toán đăng ký và quản lý thanh toán

3.2 Liên lạc

• Gửi mã xác minh để xác thực tài khoản
• Gửi xác nhận giao dịch và biên lai thanh toán
• Phản hồi các yêu cầu hỗ trợ và dịch vụ khách hàng
• Gửi các cập nhật quan trọng về Dịch vụ, bao gồm thay đổi điều khoản hoặc chính sách

3.3 Phân tích và cải tiến

• Theo dõi và phân tích xu hướng và mẫu sử dụng để cải thiện Dịch vụ
• Đo lường hiệu quả của các tính năng và trải nghiệm người dùng
• Phát hiện, điều tra và ngăn chặn giao dịch gian lận hoặc truy cập trái phép

3.4 Quảng cáo và tiếp thị

• Theo dõi chuyển đổi quảng cáo để đo lường hiệu quả chiến dịch tiếp thị
• Gửi địa chỉ email đã được mã hóa (ẩn danh) đến Meta để tối ưu hóa quảng cáo và theo dõi chuyển đổi
• Quy kết đăng ký và giao dịch mua vào các chiến dịch quảng cáo cụ thể

4. Dữ liệu ảnh và khuôn mặt

Ảnh và bất kỳ dữ liệu nào được lấy từ khuôn mặt của bạn là danh mục thông tin cá nhân nhạy cảm và chúng tôi xử lý chúng với sự cẩn thận đặc biệt. Phần này giải thích chính xác những gì được thu thập, cách sử dụng, với ai được chia sẻ và lưu giữ bao lâu.

4.1 Dữ liệu khuôn mặt chúng tôi thu thập

• Ảnh chụp selfie: Một bức ảnh tĩnh duy nhất mà bạn chọn chụp bằng camera thiết bị hoặc tải lên từ thiết bị. Bạn cũng có thể chọn hình ảnh mẫu được cung cấp sẵn thay vì sử dụng khuôn mặt của mình. Chúng tôi không ghi video và không chụp liên tục.
• Không có dấu vân khuôn mặt, mẫu sinh trắc học hay hình học khuôn mặt: Chúng tôi không tạo ra, lấy, thu thập hoặc lưu trữ bất kỳ dấu vân khuôn mặt, lưới mặt, nhúng mặt, hình học khuôn mặt, mã nhận dạng sinh trắc học hoặc dữ liệu độc đáo nào được tính từ khuôn mặt của bạn.
• Phát hiện khuôn mặt thời gian thực (tạm thời, chỉ trên thiết bị): Trong quá trình chụp selfie, Dịch vụ có thể chạy phát hiện khuôn mặt trên thiết bị để giúp bạn định khung ảnh. Phát hiện này chạy hoàn toàn trên thiết bị của bạn, không tạo ra dữ liệu bền vững và không bao giờ được truyền đến máy chủ của chúng tôi hoặc bên thứ ba.

4.2 Cách ảnh được chụp

• Chụp bằng camera: Bạn có thể sử dụng camera thiết bị để chụp selfie trực tiếp trong Dịch vụ. Truy cập camera được yêu cầu thông qua yêu cầu cấp quyền tiêu chuẩn và có thể thu hồi bất cứ lúc nào.
• Tải lên file: Ngoài ra, bạn có thể tải lên ảnh hiện có từ thư viện ảnh của thiết bị.
• Hình ảnh mẫu: Nếu bạn không muốn sử dụng ảnh của mình, bạn có thể chọn hình ảnh mẫu được cung cấp sẵn và bỏ qua chụp hoàn toàn.

4.3 Cách ảnh được xử lý

• Phát hiện khuôn mặt trên thiết bị: Như được mô tả trong 4.1, phát hiện khuôn mặt trên thiết bị trong quá trình chụp là tạm thời và không bao giờ rời khỏi thiết bị của bạn.
• Tạo trang điểm bằng AI: Khi bạn gửi selfie, ảnh được gửi qua kết nối được mã hóa đến nhà cung cấp tạo hình ảnh AI của chúng tôi, Google Gemini API (vận hành bởi Google LLC, Mỹ). Nhà cung cấp xử lý hình ảnh chỉ để trả về phong cách trang điểm cá nhân hóa. Theo điều khoản API của Google, nội dung gửi đến Gemini API không được sử dụng để đào tạo các mô hình của Google.
• Lưu trữ: Selfie gốc và hình ảnh được tạo bởi AI của bạn được lưu trữ trong cơ sở hạ tầng đám mây (Supabase Storage, được lưu trữ trên AWS) sử dụng mã hóa tiêu chuẩn ngành khi truyền (TLS) và khi nghỉ.

4.4 Những gì chúng tôi sẽ không bao giờ làm với dữ liệu khuôn mặt của bạn

• Chúng tôi không bán, cho thuê, cấp phép hoặc trao đổi ảnh hoặc bất kỳ dữ liệu liên quan đến khuôn mặt nào của bạn.
• Chúng tôi không chia sẻ ảnh của bạn với nhà quảng cáo, mạng quảng cáo, nhà cung cấp phân tích hoặc nhà môi giới dữ liệu.
• Chúng tôi không sử dụng ảnh của bạn để đào tạo các mô hình trí tuệ nhân tạo.
• Chúng tôi không sử dụng khuôn mặt của bạn để nhận dạng, xác thực, giám sát hoặc lập hồ sơ.
• Chúng tôi không trích xuất hoặc lưu trữ mẫu sinh trắc học, dấu vân khuôn mặt, hình học khuôn mặt hoặc nhúng khuôn mặt.
• Chúng tôi không công khai ảnh của bạn. Ảnh không được người dùng khác xem và không được lập chỉ mục bởi công cụ tìm kiếm.

4.5 Lưu giữ và xóa

• Thời gian lưu giữ: Selfie và hình ảnh được tạo bởi AI của bạn được giữ lại trong suốt thời gian tài khoản để bạn có thể xem lại các phong cách đã lưu. Chúng được xóa khi bạn xóa tài khoản hoặc yêu cầu xóa ảnh cụ thể.
• Dữ liệu trên thiết bị: Dữ liệu phát hiện khuôn mặt thời gian thực không được lưu trữ bền vững và chỉ tồn tại trong suốt quá trình tương tác chụp.
• Cách xóa: Bạn có thể xóa tất cả ảnh bất cứ lúc nào bằng cách xóa tài khoản trong ứng dụng hoặc trang web (Hồ sơ, Xóa tài khoản), hoặc bằng cách gửi email cho chúng tôi tại support@makeupdna.ai. Yêu cầu xóa được xử lý nhanh chóng.

4.6 Biện pháp bảo mật

• Ảnh được truyền đến máy chủ và nhà cung cấp AI qua kết nối được mã hóa TLS.
• Ảnh được lưu trữ mã hóa khi nghỉ bởi nhà cung cấp lưu trữ.
• Quyền truy cập vào ảnh bị hạn chế đối với các yêu cầu được xác thực trong phạm vi tài khoản của bạn.

5. Dịch vụ bên thứ ba và chia sẻ dữ liệu

Chúng tôi chia sẻ thông tin của bạn với các dịch vụ bên thứ ba cần thiết để vận hành Dịch vụ:

5.1 Xử lý thanh toán

• Nhà cung cấp: Stripe (Stripe, Inc., Mỹ) và Revolut (Revolut Payments UAB, Lithuania). Trên di động, giao dịch mua trong ứng dụng được xử lý bởi Apple App Store, Google Play và RevenueCat.
• Dữ liệu được chia sẻ: Địa chỉ email, chi tiết phương thức thanh toán, địa chỉ thanh toán, số tiền giao dịch
• Mục đích: Xử lý thanh toán đăng ký và quản lý thanh toán định kỳ
• Bảo mật: Cả Stripe và Revolut đều được chứng nhận PCI-DSS Cấp 1, mức tuân thủ bảo mật thanh toán cao nhất.

5.2 Cơ sở hạ tầng đám mây

• Nhà cung cấp: Supabase (Supabase Inc., Mỹ, cơ sở dữ liệu, xác thực và lưu trữ file) và Vercel (Vercel Inc., Mỹ, lưu trữ ứng dụng và hàm serverless).
• Dữ liệu được chia sẻ: Tất cả dữ liệu tài khoản, phản hồi bài kiểm tra, ảnh và dữ liệu xác thực
• Mục đích: Lưu trữ cơ sở dữ liệu, xác thực người dùng và lưu trữ file an toàn

5.3 Xử lý AI

• Nhà cung cấp: Google Gemini API (Google LLC, Mỹ), được sử dụng để tạo phong cách trang điểm cá nhân hóa và phản hồi hướng dẫn.
• Dữ liệu được chia sẻ: Ảnh selfie, hình ảnh được tạo bởi AI và phản hồi bài kiểm tra cần thiết để tạo phong cách.
• Mục đích: Tạo phong cách trang điểm cá nhân hóa bằng AI dựa trên ảnh của bạn. Theo điều khoản API của Google, nội dung gửi đến Gemini API không được sử dụng để đào tạo các mô hình của Google.
• Lưu ý: Phát hiện khuôn mặt trong quá trình chụp selfie chạy hoàn toàn trên thiết bị và không gửi dữ liệu đến máy chủ bên ngoài.

5.4 Quảng cáo và phân tích

• Nhà cung cấp: Meta Pixel và Meta Conversions API (Meta Platforms Ireland Ltd.) để theo dõi chuyển đổi và tối ưu hóa quảng cáo, và Vercel Analytics (Vercel Inc., Mỹ) cho phân tích lưu lượng tổng hợp, thân thiện với quyền riêng tư.
• Dữ liệu được chia sẻ: Địa chỉ email đã mã hóa, địa chỉ IP, user agent, mã nhận dạng cookie quảng cáo, số tiền giao dịch và sự kiện chuyển đổi
• Mục đích: Đo lường hiệu quả quảng cáo, theo dõi chuyển đổi và tối ưu hóa phân phối quảng cáo
• Các sự kiện được theo dõi: Lượt xem trang, hoàn thành bài kiểm tra, lượt xem nội dung, khởi tạo thanh toán, hoàn thành đăng ký và giao dịch mua

5.5 Các tiết lộ khác

Chúng tôi cũng có thể tiết lộ thông tin của bạn:

• Yêu cầu pháp lý: Nếu được yêu cầu bởi pháp luật, quy định, quy trình pháp lý hoặc yêu cầu của chính phủ
• Bảo vệ quyền: Để thực thi Điều khoản Dịch vụ hoặc bảo vệ quyền, tài sản hoặc sự an toàn của Makeup DNA, người dùng hoặc những người khác
• Chuyển giao doanh nghiệp: Trong trường hợp sáp nhập, mua lại, bán tài sản hoặc thủ tục phá sản, trong trường hợp đó bạn sẽ được thông báo

6. Cookie và công nghệ theo dõi

Chúng tôi sử dụng cookie và các công nghệ theo dõi tương tự để thu thập và theo dõi thông tin về việc sử dụng Dịch vụ của bạn. Bảng sau tóm tắt cookie và công nghệ theo dõi chúng tôi sử dụng:

Bạn có thể kiểm soát cookie thông qua cài đặt trình duyệt. Hầu hết các trình duyệt cho phép bạn từ chối cookie, xóa cookie hiện có hoặc được thông báo khi cookie được thiết lập. Lưu ý rằng việc vô hiệu hóa cookie thiết yếu có thể ngăn bạn sử dụng một số tính năng của Dịch vụ.

7. Lưu giữ dữ liệu

Chúng tôi lưu giữ thông tin cá nhân của bạn miễn là cần thiết để cung cấp Dịch vụ và thực hiện các mục đích được mô tả trong Chính sách Bảo mật này. Cụ thể:

• Dữ liệu tài khoản và phản hồi bài kiểm tra: Được giữ lại trong suốt thời gian tài khoản. Xóa khi có yêu cầu xóa tài khoản.
• Ảnh: Được giữ lại trong suốt thời gian tài khoản hoặc cho đến khi bạn yêu cầu xóa, tùy điều kiện nào đến trước.
• Hồ sơ thanh toán: Được giữ lại theo yêu cầu của quy định thuế và kế toán hiện hành (thường đến 7 năm).
• Nhật ký máy chủ và dữ liệu phân tích: Được giữ lại đến 12 tháng cho mục đích phân tích và bảo mật.

Khi dữ liệu không còn cần thiết, nó sẽ được xóa an toàn hoặc ẩn danh hóa.

8. Bảo mật dữ liệu

Chúng tôi thực hiện các biện pháp kỹ thuật và tổ chức phù hợp để bảo vệ thông tin cá nhân của bạn, bao gồm:

• Mã hóa dữ liệu khi truyền bằng TLS/SSL (HTTPS)
• Mã hóa dữ liệu được lưu trữ bằng các phương pháp tiêu chuẩn ngành
• Xác thực an toàn với hỗ trợ đăng nhập Google và mã xác minh email
• Xử lý thanh toán thông qua cơ sở hạ tầng tuân thủ PCI-DSS Cấp 1
• Chính sách kiểm soát truy cập trên cơ sở dữ liệu để ngăn truy cập dữ liệu trái phép
• Xác thực phía máy chủ và ủy quyền cho tất cả các hoạt động nhạy cảm
• Địa chỉ email được mã hóa trước khi chia sẻ với đối tác quảng cáo

Tuy nhiên, không có phương pháp truyền hoặc lưu trữ điện tử nào là 100% an toàn. Mặc dù chúng tôi cố gắng bảo vệ thông tin cá nhân của bạn, chúng tôi không thể đảm bảo tuyệt đối an toàn của nó.

9. Quyền của bạn theo GDPR

Nếu bạn ở Khu vực Kinh tế Châu Âu (EEA), Vương quốc Anh hoặc Thụy Sĩ, bạn có các quyền sau theo Quy định Bảo vệ Dữ liệu Chung (GDPR):

• Quyền truy cập: Bạn có quyền yêu cầu bản sao dữ liệu cá nhân chúng tôi lưu giữ về bạn.
• Quyền chỉnh sửa: Bạn có quyền yêu cầu sửa dữ liệu cá nhân không chính xác hoặc không đầy đủ.
• Quyền xóa: Bạn có quyền yêu cầu xóa dữ liệu cá nhân của bạn ("quyền được lãng quên").
• Quyền hạn chế xử lý: Bạn có quyền yêu cầu chúng tôi hạn chế xử lý dữ liệu cá nhân trong một số trường hợp.
• Quyền di chuyển dữ liệu: Bạn có quyền nhận dữ liệu cá nhân ở định dạng có cấu trúc, thường được sử dụng và có thể đọc bằng máy.
• Quyền phản đối: Bạn có quyền phản đối việc xử lý dữ liệu cá nhân cho mục đích tiếp thị trực tiếp.
• Quyền rút lại sự đồng ý: Khi xử lý dựa trên sự đồng ý của bạn, bạn có quyền rút lại sự đồng ý bất cứ lúc nào.
• Quyền khiếu nại: Bạn có quyền khiếu nại với cơ quan giám sát tại quốc gia cư trú.

Để thực hiện bất kỳ quyền nào trong số này, vui lòng liên hệ chúng tôi tại support@makeupdna.ai. Chúng tôi sẽ phản hồi yêu cầu của bạn trong vòng 30 ngày.

10. Cơ sở pháp lý để xử lý (GDPR)

Chúng tôi xử lý dữ liệu cá nhân của bạn trên các cơ sở pháp lý sau:

• Thực hiện hợp đồng: Xử lý cần thiết để cung cấp cho bạn Dịch vụ, bao gồm tạo tài khoản, xử lý bài kiểm tra, tạo hình ảnh AI và quản lý đăng ký.
• Sự đồng ý: Khi bạn đã đưa ra sự đồng ý rõ ràng, chẳng hạn như tải lên ảnh để xử lý AI.
• Lợi ích hợp pháp: Xử lý cần thiết cho lợi ích kinh doanh hợp pháp của chúng tôi, chẳng hạn như cải thiện Dịch vụ, ngăn chặn gian lận và đảm bảo bảo mật.
• Nghĩa vụ pháp lý: Xử lý cần thiết để tuân thủ pháp luật hiện hành, chẳng hạn như lưu giữ hồ sơ thuế.

11. Chuyển dữ liệu quốc tế

Vì chúng tôi dựa vào các nhà cung cấp dịch vụ có trụ sở tại Mỹ, dữ liệu cá nhân của bạn được chuyển và xử lý bên ngoài Khu vực Kinh tế Châu Âu. Cụ thể:

• Hoa Kỳ: Stripe, Supabase, Vercel và Google (Gemini API) xử lý dữ liệu trên cơ sở hạ tầng Mỹ.
• Liên minh Châu Âu (Lithuania/Ireland): Revolut và Meta xử lý dữ liệu chủ yếu trong EU.
• Hỗ trợ khách hàng và vận hành: Chúng tôi được thành lập tại Lithuania và truy cập dữ liệu từ đó.

Khi chúng tôi chuyển dữ liệu ra ngoài EEA, chúng tôi dựa vào Điều khoản Hợp đồng Tiêu chuẩn của Ủy ban Châu Âu với mỗi nhà cung cấp. Bạn có thể yêu cầu bản sao các biện pháp bảo vệ hiện có bằng cách liên hệ chúng tôi.

12. Quyền riêng tư của trẻ em

Dịch vụ của chúng tôi không dành cho những người dưới 18 tuổi. Chúng tôi không cố tình thu thập thông tin cá nhân từ trẻ em dưới 18 tuổi. Nếu bạn là cha mẹ hoặc người giám hộ và tin rằng con bạn đã cung cấp cho chúng tôi thông tin cá nhân, vui lòng liên hệ ngay với chúng tôi tại support@makeupdna.ai.

13. Tín hiệu Do Not Track

Một số trình duyệt bao gồm tính năng "Do Not Track" (DNT) báo hiệu cho các trang web rằng bạn không muốn hoạt động trực tuyến của mình bị theo dõi. Hiện tại không có tiêu chuẩn nào được chấp nhận phổ biến về cách phản hồi tín hiệu DNT. Tại thời điểm này, chúng tôi không phản hồi tín hiệu DNT.

14. Liên kết bên thứ ba

Dịch vụ của chúng tôi có thể chứa liên kết đến các trang web hoặc dịch vụ bên thứ ba. Chúng tôi không chịu trách nhiệm về các thực hành quyền riêng tư hoặc nội dung của các bên thứ ba đó. Chúng tôi khuyến khích bạn xem xét chính sách bảo mật của bất kỳ trang web bên thứ ba nào bạn truy cập.

15. Thay đổi Chính sách Bảo mật này

Chúng tôi có thể cập nhật Chính sách Bảo mật này theo thời gian để phản ánh thay đổi trong các thực hành, công nghệ, yêu cầu pháp lý hoặc các yếu tố khác. Chúng tôi sẽ thông báo cho bạn về bất kỳ thay đổi quan trọng nào bằng cách:

• Đăng Chính sách Bảo mật cập nhật trên trang này với ngày "Cập nhật lần cuối" mới
• Gửi cho bạn thông báo qua email về những thay đổi quan trọng (nếu chúng tôi có địa chỉ email của bạn)

Việc bạn tiếp tục sử dụng Dịch vụ sau khi bất kỳ thay đổi nào có hiệu lực là sự chấp nhận Chính sách Bảo mật đã sửa đổi.