Chính sách Quyền riêng tư

Chính sách này áp dụng cho Abundera QR Pro (dịch vụ trả phí tại pro.qr.abundera.ai). Đối với công cụ Abundera QR miễn phí tại qr.abundera.ai, xem qr.abundera.ai/privacy/.

Cách Abundera QR xử lý dữ liệu: gần như không có gì với công cụ miễn phí; tối thiểu và rõ ràng với Pro.

Phiên bản 2.0. Cập nhật lần cuối 2026-04-17. Có hiệu lực từ 2026-06-15. Phiên bản trước chỉ bao gồm công cụ miễn phí; phiên bản này bổ sung Pro Service. Chính sách Quyền riêng tư của Abundera, Inc. nói chung tại abundera.ai/privacy.

1. Tóm tắt

Hai sản phẩm, hai bức tranh dữ liệu khác nhau.

Free Tool (qr.abundera.ai): không tài khoản, không cookie, không phân tích, không yêu cầu đến máy chủ của chúng tôi để tạo QR. Nội dung của bạn không bao giờ rời khỏi trình duyệt.
Pro Service (pro.qr.abundera.ai): dựa trên tài khoản. Chúng tôi lưu trữ email, ID khách hàng Stripe, các mã QR bạn tạo, và các bản ghi quét tối thiểu được mô tả trong Điều 4. Chúng tôi không theo dõi người dùng cuối của bạn trên web; chúng tôi không bán dữ liệu của bạn; chúng tôi không sử dụng công nghệ quảng cáo.

2. Dữ liệu chúng tôi xử lý trên Pro Service

2.1 Dữ liệu tài khoản

Khi bạn đăng nhập qua abundera.ai, chúng tôi nhận địa chỉ email và mã định danh người dùng của bạn thông qua luồng xác thực JWKS ủy quyền. Chúng tôi lưu trữ:

Địa chỉ email (để gửi thông báo thanh toán, tin nhắn dịch vụ quan trọng, và xác nhận hủy)
ID khách hàng Stripe (để thanh toán phương thức thanh toán bạn cung cấp)
Tùy chọn tài khoản (bậc gói dịch vụ, thành viên nhóm, siêu dữ liệu khóa API)
Dấu thời gian (tài khoản được tạo, cập nhật, yêu cầu xóa)

Chúng tôi không lưu trữ mật khẩu; xác thực được ủy quyền cho abundera.ai. Chúng tôi không thu thập thông tin nhân khẩu học, tùy chọn tiếp thị, hoặc mã định danh thiết bị ngoài những gì đã được mô tả ở đây.

2.2 Mã và URL của bạn

Khi bạn tạo mã QR động, chúng tôi lưu trữ URL đích, nhãn tùy chọn bạn đặt, thẻ tùy chọn, shortcode 7 ký tự, và trạng thái vòng đời của mã. Đây là điều làm cho việc phân giải QR động trở nên khả thi.

2.3 Dữ liệu thanh toán

Thanh toán được xử lý bởi Stripe, Inc. Chúng tôi không lưu trữ số thẻ, CVC, hoặc số tài khoản ngân hàng. Stripe trả về một tham chiếu (ID khách hàng và ID đăng ký) mà chúng tôi lưu trữ để đối chiếu gia hạn và hóa đơn. Chi tiết phương thức thanh toán của bạn ở lại với Stripe.

3. Phân tích quét (những gì chúng tôi ghi lại khi ai đó quét một trong các mã của bạn)

Đây là nơi hầu hết các nhà cung cấp QR thương mại thu thập hồ sơ hành vi phong phú. Chúng tôi làm ngược lại.

Những gì chúng tôi ghi lại cho mỗi lần quét:

Ngày theo lịch UTC (nhóm cấp ngày)
Quốc gia được suy ra từ tiêu đề yêu cầu CF-IPCountry của Cloudflare
Lớp thiết bị (di động / máy tính bảng / máy tính bàn / không xác định) được phân loại từ biểu thức chính quy User-Agent ngắn
Shortcode của mã (để chúng tôi có thể gán lần quét cho đúng mã)

Đối với các bậc Team và Agency, chúng tôi ghi thêm nhóm giờ trong ngày UTC trong tối đa 7 ngày trở lại. Các bản ghi theo nhóm ngày được lưu giữ theo gói (xem Điều 7).

Những gì chúng tôi không ghi lại: địa chỉ IP, vị trí địa lý chính xác (không có thành phố hay kinh độ/vĩ độ), URL nguồn, chuỗi User-Agent thô, dấu thời gian dưới một giờ, cookie hoặc mã định danh phiên của người quét, hoặc bất kỳ thứ gì khác. Sau khi phân loại lớp thiết bị, chuỗi User-Agent bị loại bỏ; nó không bao giờ được ghi vào cơ sở dữ liệu của chúng tôi.

Các quốc gia có ít hơn năm lần quét trong cửa sổ phân tích bạn chọn được gộp lại thành "Khác" để người quét riêng lẻ không thể được xác định lại từ mẫu nhỏ.

4. Cookie và theo dõi

Free Tool: không cookie, không theo dõi, không lấy dấu vân tay.

Pro Service: một cookie duy nhất bắt buộc về mặt kỹ thuật, __Secure-abundera_session, mang token phiên đã ký cần thiết để giữ bạn đăng nhập. Cookie này là HttpOnly, Secure, và SameSite=Strict. Chúng tôi không sử dụng cookie tiếp thị, cookie quảng cáo, hoặc theo dõi xuyên trang web. Không có Google Analytics, Meta Pixel, hoặc tương tự.

5. Các bên xử lý phụ chúng tôi sử dụng

Vận hành dịch vụ yêu cầu một vài bên thứ ba. Danh sách hiện tại:

Bên xử lý phụ	Mục đích	Dữ liệu được truy cập	Khu vực pháp lý
Cloudflare, Inc.	Tính toán, lưu cache biên, cơ sở dữ liệu (D1), kho giá trị khóa (KV), DNS	Tất cả dữ liệu Pro Service; tiêu đề quét tại biên	Hoa Kỳ với biên toàn cầu
Stripe, Inc.	Xử lý thanh toán và lập hóa đơn	Email, chi tiết thanh toán, hồ sơ đăng ký	Hoa Kỳ
Zoho Corporation / ZeptoMail	Email giao dịch (chào mừng, hủy, thanh toán thất bại)	Địa chỉ email, nội dung email	Hoa Kỳ / Ấn Độ

Danh sách bên xử lý phụ hiện tại, có ngày tháng được duy trì tại abundera.ai/legal/subprocessors/. Chúng tôi sẽ cập nhật trang đó trước khi thêm bên xử lý phụ mới và cho người đăng ký ít nhất ba mươi (30) ngày để phản đối khi luật hiện hành yêu cầu.

6. Thời gian chúng tôi lưu giữ dữ liệu của bạn

Dữ liệu tài khoản: được lưu giữ trong khi tài khoản của bạn còn hoạt động. Khi bạn yêu cầu xóa tài khoản, tài khoản sẽ vào giai đoạn giữ 30 ngày, sau đó tất cả dữ liệu cá nhân được xóa khỏi các hệ thống sản xuất.

Mã QR động: được lưu giữ trong khi đăng ký liên quan còn hoạt động, qua bất kỳ thời gian ân hạn nào, và qua giai đoạn giữ xóa tài khoản 30 ngày. Sau đó, các mã và shortcode của chúng bị xóa.

Bản ghi quét: được lưu giữ theo gói: 365 ngày trên Solo, 730 ngày trên Business, 1.095 ngày trên Team và Agency, 30 ngày trên Keep-Alive. Sau cửa sổ đó, các bản ghi quét cũ hơn được xóa theo cách liên tục bởi cron hàng ngày của chúng tôi.

Hồ sơ thanh toán và thuế: Hồ sơ giao dịch Stripe và hồ sơ thuế được lưu giữ ít nhất bảy (7) năm theo yêu cầu của luật thuế Hoa Kỳ; các khu vực pháp lý VAT EU có thể yêu cầu lưu giữ thêm. Dữ liệu này không thể bị xóa theo yêu cầu trong giai đoạn đó.

Nhật ký bảo mật: nhật ký ứng dụng có cấu trúc (không có PII ngoài những gì trình xử lý ghi rõ ràng, chẳng hạn như ID người dùng Stripe-webhook) được Cloudflare lưu giữ tối đa 30 ngày.

7. Cơ sở pháp lý để xử lý (người dùng GDPR / EEA)

Khi GDPR áp dụng, chúng tôi dựa vào các cơ sở pháp lý sau:

Thực hiện hợp đồng, cho việc tạo tài khoản, thanh toán đăng ký, phân giải mã, và hỗ trợ kỹ thuật. Điều này bao gồm hầu hết mọi hoạt động xử lý Pro Service.
Lợi ích hợp pháp, cho giám sát bảo mật, ngăn chặn gian lận, và phân tích quét mà bạn với tư cách khách hàng của chúng tôi sử dụng để hiểu hiệu suất chiến dịch, vốn được thiết kế tối thiểu. Đánh giá của chúng tôi là tác động đến người quét là tối thiểu vì không có dữ liệu nhận dạng người quét nào được lưu giữ.
Nghĩa vụ pháp lý, để lưu giữ hồ sơ thanh toán và thuế như được mô tả trong Điều 7.
Đồng ý, chỉ khi chúng tôi yêu cầu rõ ràng (ví dụ: thông tin liên lạc tham gia tùy chọn trong tương lai). Chúng tôi hiện không dựa vào sự đồng ý cho bất kỳ hoạt động xử lý bắt buộc nào.

8. Quyền của bạn

Tùy thuộc vào luật hiện hành và các ngoại lệ lưu giữ trong Điều 7, bạn có các quyền sau:

Truy cập: tải xuống tệp ZIP dữ liệu tài khoản của bạn (mã, quét, README) bất kỳ lúc nào từ Tài khoản → Quyền riêng tư → Xuất, hoặc bằng cách gửi email cho support@abundera.ai.
Chỉnh sửa: cập nhật dữ liệu tài khoản qua trang tài khoản của bạn hoặc bằng cách liên hệ hỗ trợ.
Xóa: yêu cầu xóa tài khoản từ Tài khoản → Quyền riêng tư → Xóa. Giữ 30 ngày, sau đó xóa cứng.
Khả năng chuyển dữ liệu: tệp ZIP xuất là CSV có thể đọc bằng máy cùng với README.
Phản đối / hạn chế xử lý: liên hệ support@abundera.ai. Chúng tôi sẽ thực hiện các yêu cầu hợp lệ và xác nhận bằng văn bản.
Rút lại sự đồng ý: khi hoạt động xử lý dựa trên sự đồng ý, bạn có thể rút lại bất kỳ lúc nào mà không ảnh hưởng đến hoạt động xử lý được thực hiện trước khi rút lại.
Khiếu nại: người dùng EEA có thể khiếu nại lên cơ quan giám sát địa phương của họ. Người dùng Anh: ICO. Các khu vực pháp lý khác: cơ quan tương đương.

Thời gian phản hồi: chúng tôi xác nhận trong vòng 5 ngày làm việc và thực hiện trong vòng 30 ngày kể từ khi xác nhận, theo yêu cầu của Điều 12 GDPR. Các yêu cầu phức tạp có thể kéo dài đến 90 ngày với thông báo. Quyền riêng tư của tiểu bang Hoa Kỳ theo California (CCPA), Colorado (CPA), Virginia (VCDPA), và các tiểu bang khác được thực hiện trên cùng thời hạn 30 ngày.

9. "Không bán hoặc chia sẻ thông tin cá nhân của tôi"

Chúng tôi không bán thông tin cá nhân của bạn. Chúng tôi không chia sẻ thông tin cá nhân của bạn cho quảng cáo hành vi xuyên ngữ cảnh. Chúng tôi không sử dụng hoặc tiết lộ thông tin cá nhân nhạy cảm cho các mục đích khác ngoài việc cung cấp dịch vụ. Vì chúng tôi không tham gia vào các hoạt động này, không cần từ chối, tuy nhiên, cư dân California muốn xác nhận bằng văn bản có thể yêu cầu tại support@abundera.ai.

10. Trẻ em

Pro Service không nhắm đến trẻ em dưới 16 tuổi. Chúng tôi không cố ý thu thập thông tin cá nhân từ trẻ em dưới 16 tuổi. Nếu bạn cho rằng chúng tôi có, hãy liên hệ support@abundera.ai và chúng tôi sẽ xóa nó.

11. Chuyển dữ liệu quốc tế

Chúng tôi có trụ sở tại Hoa Kỳ. Dữ liệu cá nhân thu thập từ cư dân EEA, Anh, hoặc Thụy Sĩ được chuyển đến Hoa Kỳ. Chúng tôi dựa vào Điều khoản Hợp đồng Tiêu chuẩn EU (SCC) cho các chuyển dữ liệu này với các bên xử lý phụ (Cloudflare, Stripe, Zoho/ZeptoMail). Danh sách bên xử lý phụ hiện tại tại abundera.ai/legal/subprocessors/ ghi lại cơ chế chuyển dữ liệu cho từng bên.

12. Bảo mật

Chúng tôi sử dụng các biện pháp kiểm soát tiêu chuẩn ngành: TLS 1.3 trong quá trình truyền, lưu trữ mã hóa khi nghỉ (Cloudflare D1, KV), khóa API có phạm vi, giới hạn tốc độ, bảo vệ CSRF (cookie SameSite=Strict + kiểm tra nguồn gốc), và ghi nhật ký truy cập có cấu trúc. Chúng tôi không khẳng định dịch vụ là bất khả xâm phạm. Nếu bạn nghi ngờ có vấn đề bảo mật, hãy báo cáo tại security@abundera.ai.

13. Thông báo vi phạm

Nếu chúng tôi biết về vi phạm dữ liệu cá nhân ảnh hưởng đến tài khoản của bạn, chúng tôi sẽ thông báo cho bạn mà không chậm trễ và trong mọi trường hợp trong vòng bảy mươi hai (72) giờ kể từ khi biết, theo yêu cầu của Điều 33 GDPR trong vai trò của chúng tôi là người kiểm soát dữ liệu. Thông báo bao gồm: tính chất của vi phạm, danh mục và số lượng bản ghi bị ảnh hưởng xấp xỉ, hậu quả có thể xảy ra, và các biện pháp đã thực hiện hoặc được đề xuất.

14. Thay đổi chính sách này

Chúng tôi có thể cập nhật Chính sách Quyền riêng tư này theo thời gian. Các thay đổi quan trọng sẽ được thông báo qua email đến địa chỉ đăng ký trong hồ sơ cho người đăng ký Pro và bằng cách đăng thông báo nổi bật trên trang này. Ngày có hiệu lực ở đầu trang này phản ánh phiên bản hiện tại. Các phiên bản lịch sử có sẵn tại nhật ký thay đổi.

15. Liên hệ

Câu hỏi về quyền riêng tư, yêu cầu quyền của chủ thể dữ liệu, hoặc mối quan ngại: privacy@abundera.ai (chuyên dụng) hoặc support@abundera.ai.
Abundera, Inc., 200 W Sahara Ave, Unit 3301, Las Vegas, NV 89102, USA.

Phiên bản 2.0, cập nhật lần cuối 2026-04-17, có hiệu lực 2026-06-15. Các phiên bản trước: xem nhật ký thay đổi.