Chính sách bảo mật — Oẳn Tù Xì

Cập nhật: 2025-09-15

Tổng quan

Chính sách này mô tả cách ứng dụng "Oẳn Tù Xì" thu thập, sử dụng, lưu trữ và bảo vệ dữ liệu khi bạn dùng dịch vụ. Đây là bản chính sách công khai — hãy liên hệ nếu bạn có câu hỏi.

Dữ liệu thu thập

Thông tin tài khoản: tên hiển thị, email (khi đăng ký), mật khẩu băm (hash), điểm/hạng và một số metadata (ví dụ: lựa chọn skin, biến thể cá nhân).
Dữ liệu khách (guest): một guestId tạm thời được lưu trong sessionStorage hoặc session phía server; guest không được lưu vĩnh viễn trong DB trừ khi bạn chuyển/migrate.
Dữ liệu hoạt động: log kết nối (socket id), lịch sử trận đấu (điểm, kết quả cạnh tranh) và thông tin lỗi nhằm mục đích vận hành và debug.
Dữ liệu cookies/session: cookie session dùng để duy trì trạng thái đăng nhập (express-session).
Dữ liệu bên thứ ba: khi bạn đăng nhập bằng Google, chúng tôi thu email và hồ sơ cơ bản do Google cung cấp (tên, email, avatar nếu có).

Mục đích sử dụng

Chúng tôi dùng dữ liệu để ghép trận, lưu hạng, quản lý tài khoản, chống lạm dụng và hỗ trợ kỹ thuật. Nếu kích hoạt quảng cáo/analytics, dữ liệu liên quan sẽ được xử lý bởi nhà cung cấp bên thứ ba.

Chia sẻ với bên thứ ba

Chỉ chia sẻ dữ liệu với bên thứ ba cần thiết (OAuth provider, ad networks). Chúng tôi không bán dữ liệu cá nhân.

Cookies & Session

Ứng dụng sử dụng cookie session (server-side) để duy trì trạng thái đăng nhập. Hiện tại server dùng bộ nhớ nội bộ (MemoryStore) — chỉ phù hợp cho môi trường phát triển. Khi public, hãy cấu hình store bền như Redis và bật cookie.secure khi chạy trên HTTPS.

Bảo mật

Mật khẩu: trên prototype hiện tại mật khẩu được băm trước khi lưu. Trước khi đưa vào môi trường production nên dùng một hàm băm chuyên dụng cho mật khẩu (ví dụ bcrypt hoặc argon2) với salt và cost factor phù hợp; không dùng hàm băm chung (như SHA-256) trực tiếp cho mật khẩu.

Quản lý bí mật: mọi secret (ví dụ GOOGLE_CLIENT_SECRET, SESSION_SECRET, API keys) phải được lưu ngoài mã nguồn — dùng biến môi trường, secrets manager hoặc vault. Tuyệt đối không commit `.env` chứa secrets vào kho mã public.

Session & cookies: khi deploy trên HTTPS, bật cookie.secure và cookie.httpOnly; sử dụng một session store bền (Redis, Memcached hoặc DB-backed store) thay cho MemoryStore để tránh mất session và rủi ro khi có nhiều instance.

Vận hành an toàn: cập nhật phụ thuộc định kỳ, áp dụng least-privilege cho credentials, mã hóa backups nếu chứa dữ liệu nhạy cảm, và có quy trình sao lưu/khôi phục. Đồng thời bật HTTPS cho toàn bộ trang để mã hóa truyền tải.

Quyền người dùng

Người dùng có quyền truy cập, sửa, hoặc yêu cầu xóa dữ liệu tài khoản của họ — liên hệ email bên dưới.

Thông tin liên hệ

Nếu bạn có yêu cầu liên quan tới dữ liệu cá nhân hoặc chính sách, vui lòng liên hệ qua các kênh sau (vui lòng thay thế bằng thông tin chính thức trước khi public):

Mọi yêu cầu liên quan tới dữ liệu hoặc trợ giúp xin vui lòng gửi tới: legacyoflang@gmail.com

Retention (đề xuất mặc định)

Tài khoản người dùng: giữ cho đến khi người dùng xóa hoặc 2 năm không hoạt động.
Logs kết nối / lỗi: 90 ngày.
Backups: 180 ngày (mã hóa nếu có chứa dữ liệu nhạy cảm).
Analytics (aggregated): 24 tháng hoặc theo chính sách nhà cung cấp.

Yêu cầu xóa dữ liệu

Người dùng có thể gửi yêu cầu xóa dữ liệu tới legacyoflang@gmail.com. Sau khi xác minh quyền sở hữu tài khoản (ví dụ: qua email đăng ký), chúng tôi sẽ xóa dữ liệu cá nhân khỏi hệ thống hoạt động trong vòng 30 ngày. Dữ liệu trong backups có thể cần tới 90–180 ngày để hoàn toàn bị xóa do cơ chế sao lưu; trong thời gian này dữ liệu sẽ được vô hiệu hóa và không thể truy cập công khai.

Cookies & Consent

Nếu tích hợp analytics hoặc mạng quảng cáo, trước khi đặt cookie phân tích hoặc quảng cáo, người dùng sẽ được hiển thị thông báo cookie (cookie banner) để chấp nhận hoặc từ chối. Người dùng luôn có thể quản lý cookie trong trình duyệt hoặc qua menu cài đặt trong ứng dụng.