Chính sách quyền riêng tư — XăngE10.VN /ban-do
Cập nhật: 2026-05-24
1. Dữ liệu thu thập
Chỉ khi bạn đăng nhập / contribute trên /ban-do:
- Email: phục vụ auth (magic link), không gửi marketing.
- IP submit (chỉ cho reviews): lưu 90 ngày để điều tra khiếu nại. Sau 90 ngày tự động NULL (cron daily).
- User-Agent: trong access log nginx, retention 14 ngày.
- Nội dung đóng góp: trạm, rating, tag — lưu vô thời hạn cho mục đích vận hành dịch vụ.
Trang chủ xange10.vn (tra cứu xe E10) KHÔNG yêu cầu đăng nhập, KHÔNG thu thập IP/email.
2. Cookie
xange_session(HttpOnly, Secure, SameSite=Lax, hết hạn 30 ngày): JWT phiên đăng nhập. Cần thiết để xác thực.- Không có tracking cookie (FB Pixel, Hotjar, GA cross-domain).
3. Bên thứ 3
- Resend (Mỹ): gửi email magic link. Email forward, không lưu lâu dài tại Resend.
- Cloudflare: proxy edge, DDoS protection, Turnstile bot check.
- OpenStreetMap: tile bản đồ. Cache 24h tại VPS để giảm yêu cầu.
- Google Maps: chỉ kích hoạt khi bạn click “Chỉ đường”.
- Telegram: chỉ admin nhận notif moderation. Người dùng cuối không tương tác.
4. Quyền của bạn
- Yêu cầu xoá tài khoản + dữ liệu cá nhân: email [email protected]. Phản hồi trong 7 ngày.
- Yêu cầu gỡ review của bạn: dùng quy trình takedown.
- Yêu cầu cung cấp bản sao dữ liệu của bạn: email yêu cầu, phản hồi trong 14 ngày.
5. Bảo mật
- Magic link: 256-bit entropy, hash SHA-256, hết hạn 15 phút, 1-time use.
- JWT secret rotation khi cần — tự động invalidate tất cả phiên.
- Database backup: pg_dump daily → Backblaze B2 EU. Retain 14 ngày.
- VPS VN, Postgres bind 127.0.0.1, ufw firewall, fail2ban SSH.
6. Trẻ em
XăngE10.VN không nhắm đến người dưới 16 tuổi. Báo qua email nếu phát hiện.