Hợp đồng xử lý dữ liệu và danh sách nhà cung cấp

1. Tổng quan

Floway Studio đóng vai trò là Bên kiểm soát dữ liệu (Data Controller) cho dữ liệu cá nhân của người dùng cuối. Các nhà cung cấp dịch vụ kỹ thuật bên dưới (sub-processors) đóng vai trò Bên xử lý dữ liệu (Data Processor) và chỉ được xử lý dữ liệu theo chỉ thị của chúng tôi.

Mỗi sub-processor đã ký Hợp đồng xử lý dữ liệu với chúng tôi (qua DPA mẫu của họ hoặc của chúng tôi) cam kết: (a) chỉ xử lý dữ liệu cho mục đích được chỉ định, (b) áp dụng biện pháp bảo mật phù hợp, (c) hỗ trợ chúng tôi đáp ứng các yêu cầu về quyền của người dùng, (d) thông báo sự cố dữ liệu kịp thời, (e) trả lại hoặc xóa dữ liệu sau khi kết thúc hợp đồng.

2. Cloudflare, Inc.

Cloudflare cung cấp hạ tầng máy chủ và CDN cho toàn bộ dịch vụ của chúng tôi, bao gồm: cơ sở dữ liệu D1, host trang web Pages, runtime Workers. (R2 object storage sẽ được kích hoạt khi tính năng upload ảnh đại diện ra mắt — chưa sử dụng tại thời điểm hiện tại.)

• Dữ liệu xử lý: TẤT CẢ dữ liệu được lưu trên cơ sở hạ tầng Cloudflare
• Vị trí: mạng máy chủ toàn cầu (US, EU, Asia, ...) — chọn trung tâm gần nhất
• DPA: https://www.cloudflare.com/cloudflare-customer-dpa/
• Chứng nhận: ISO 27001, SOC 2 Type II, GDPR/CCPA-ready
• Mã hóa: AES-256 ở cấp lưu trữ, TLS 1.3 cho truyền dữ liệu

3. Stripe, Inc.

Stripe xử lý thanh toán quốc tế (thẻ tín dụng, Apple Pay, Google Pay). Chúng tôi KHÔNG bao giờ trực tiếp lưu trữ số thẻ tín dụng của bạn — Stripe đảm nhiệm hoàn toàn theo chuẩn PCI-DSS Level 1.

• Dữ liệu xử lý: email, số thẻ (chỉ tại Stripe, chúng tôi nhận token), thông tin thanh toán, lịch sử giao dịch
• Vị trí: Hoa Kỳ (trụ sở), trung tâm dữ liệu EU cho khách EU
• DPA: https://stripe.com/legal/dpa
• Chứng nhận: PCI-DSS Level 1, ISO 27001, SOC 1+2
• Truyền dữ liệu: SCC + EU-US Data Privacy Framework

4. Resend, Inc.

Resend gửi các email giao dịch (đặt lại mật khẩu, biên lai thanh toán) thay mặt chúng tôi.

• Dữ liệu xử lý: email người nhận, nội dung email, trạng thái gửi
• Vị trí: Hoa Kỳ (qua AWS US regions)
• DPA: https://resend.com/legal/dpa
• Truyền dữ liệu: SCC

5. Google LLC (OAuth)

Google là tùy chọn nhà cung cấp định danh nếu bạn chọn đăng nhập bằng Google. Chúng tôi nhận email, Google ID, tên, và URL ảnh đại diện qua giao thức OAuth 2.0 + OpenID Connect.

• Dữ liệu xử lý: chỉ kích hoạt khi bạn chủ động chọn "Đăng nhập bằng Google"
• Vị trí: máy chủ Google toàn cầu
• Chính sách: https://policies.google.com/privacy
• Chứng nhận: ISO 27001, SOC 2/3

6. Sentry, Inc.

Sentry theo dõi lỗi kỹ thuật (crash reports, stack traces) để chúng tôi phát hiện và khắc phục sự cố nhanh chóng. Chúng tôi KHÔNG gửi dữ liệu cá nhân của người dùng cùng với báo cáo lỗi — chỉ stack trace và bối cảnh kỹ thuật.

• Dữ liệu xử lý: stack trace, browser/OS info, request ID (KHÔNG có email, mật khẩu, hoặc nội dung công việc)
• Vị trí: Hoa Kỳ
• DPA: https://sentry.io/legal/dpa/
• Truyền dữ liệu: SCC

7. Thay đổi danh sách sub-processor

Khi chúng tôi thêm mới hoặc thay đổi sub-processor, chúng tôi sẽ:

• Cập nhật trang này với thông tin chi tiết và ngày cập nhật
• Thông báo qua email tới tất cả khách hàng đang trả phí (Pro/Ultimate) tối thiểu 14 ngày trước khi sub-processor mới bắt đầu xử lý dữ liệu
• Khách hàng có quyền phản đối thay đổi và chấm dứt gói đăng ký với hoàn tiền theo tỷ lệ thời gian còn lại

8. Khách hàng doanh nghiệp

Nếu tổ chức của bạn cần ký một DPA riêng (đặc biệt là khách hàng EU có nghĩa vụ theo GDPR Điều 28 với nội bộ tổ chức), chúng tôi cung cấp bản mẫu chuẩn miễn phí. Liên hệ privacy@flowaystudio.com kèm theo tên pháp nhân, số đăng ký kinh doanh, và đầu mối liên lạc của Data Protection Officer của bạn.