Chính sách Bảo mật — GEM AI PM Pro

1Phạm vi áp dụng

Chính sách Bảo mật này áp dụng cho dịch vụ GEM AI PM Pro tại gemaipm.com (gồm cả các tên miền chuyển hướng: gemclaudepm.com, gemaipm.vn) do CÔNG TY TNHH CÔNG NGHỆ CORAI ("CORAI TECH", "Chúng tôi") cung cấp.

Chính sách tuân thủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân, Luật An ninh mạng 2018, và các văn bản pháp luật Việt Nam có liên quan.

CORAI TECH đã/sẽ đăng ký hoạt động xử lý dữ liệu cá nhân với Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an theo quy định tại Điều 45 Nghị định 13/2023.

2Thông tin Bên Kiểm soát Dữ liệu

Tên đầy đủ	CÔNG TY TNHH CÔNG NGHỆ CORAI
Tên tiếng Anh	CORAI TECHNOLOGY COMPANY LIMITED
Tên viết tắt	CORAI TECH
Mã số doanh nghiệp	0319524985
Ngày cấp	24/04/2026 — Sở Tài chính TP.HCM, Phòng Đăng ký Kinh doanh
Địa chỉ trụ sở	Tầng 5, 70 Phạm Ngọc Thạch, Phường Xuân Hòa, TP. Hồ Chí Minh, Việt Nam
Người đại diện pháp luật	Bà Nguyễn Thị Hồng — Giám đốc
Điện thoại	088 61 69 615 (Bán hàng) · 0886 22 88 48 (Hỗ trợ)
Email	contact@corai.vn · info@corai.vn
Người phụ trách bảo vệ dữ liệu cá nhân (DPO — Data Protection Officer)	Phạm Anh Tuấn — pat@corai.vn

3Dữ liệu chúng tôi thu thập

Thông tin nhận dạng: Họ tên, email, số điện thoại, CMND/CCCD (nếu Người dùng cung cấp), thông tin công ty (đối với tài khoản doanh nghiệp).

Dữ liệu sử dụng dịch vụ: Dữ liệu dự án/công trình, hình ảnh, tài liệu, bản vẽ, nhật ký thi công, báo cáo, biểu mẫu kỹ thuật, dữ liệu nghiệm thu, dữ liệu hợp đồng và thanh toán.

Dữ liệu nhân sự (đối với module Quản lý nhân sự): Hồ sơ nhân viên, chấm công, lương, đơn nghỉ phép, chứng chỉ an toàn lao động, kết quả đánh giá hiệu quả công việc.

Dữ liệu kỹ thuật: Vị trí GPS (chỉ khi chấm công — yêu cầu cấp quyền truy cập vị trí trên thiết bị), địa chỉ IP, loại thiết bị, hệ điều hành, trình duyệt, lịch sử sử dụng tính năng.

Dữ liệu sinh trắc học (đối với tính năng quét CCCD bằng AI): Khuôn mặt được trích xuất từ ảnh CCCD do Người dùng tự nguyện tải lên — chỉ dùng để tự động điền form, không lưu trữ riêng biệt sau khi xử lý.

4Mục đích sử dụng dữ liệu

Cung cấp, vận hành và cải thiện các tính năng Dịch vụ.
Xác thực danh tính và bảo mật tài khoản.
Xử lý thanh toán và quản lý đăng ký gói dịch vụ.
Gửi thông báo kỹ thuật, cảnh báo bảo mật, hỗ trợ kỹ thuật và chăm sóc khách hàng.
Phân tích thống kê (đã ẩn danh — gỡ bỏ tên và thông tin nhận dạng) để cải thiện sản phẩm.
Tuân thủ yêu cầu pháp lý, kế toán, thuế.
Phòng chống gian lận và bảo vệ quyền lợi hợp pháp của Công ty và Người dùng.

Chúng tôi KHÔNG bán, cho thuê hoặc chia sẻ dữ liệu cá nhân với bên thứ ba cho mục đích quảng cáo, marketing trực tiếp hoặc bất kỳ mục đích thương mại nào ngoài vận hành Dịch vụ.

5Chia sẻ dữ liệu với bên thứ ba

Để vận hành Dịch vụ, chúng tôi chia sẻ một phần dữ liệu với các đối tác kỹ thuật sau, tất cả đều ký kết điều khoản bảo mật tương đương hoặc cao hơn tiêu chuẩn của chúng tôi:

Đối tác	Mục đích	Quốc gia
Supabase Inc.	Cơ sở dữ liệu, xác thực đăng nhập, lưu trữ tệp	Singapore
Google Gemini API	Xử lý AI cho phân tích văn bản, hình ảnh, PDF	Hoa Kỳ
Vercel Inc.	Lưu trữ website và mạng phân phối nội dung (CDN)	Toàn cầu
Resend	Gửi email giao dịch (xác thực, thông báo)	Hoa Kỳ
ESMS / ViHAT	Gửi tin nhắn SMS xác thực OTP cho công nhân	Việt Nam
PayOS / Casso	Cổng thanh toán	Việt Nam
Cloudflare	Hệ thống tên miền (DNS) và bảo vệ chống tấn công từ chối dịch vụ phân tán (DDoS)	Toàn cầu

Một số đối tác đặt máy chủ ngoài lãnh thổ Việt Nam (Supabase Singapore, Google Hoa Kỳ). Việc chuyển dữ liệu xuyên biên giới này tuân thủ Điều 25 Nghị định 13/2023 và đã được đánh giá tác động xử lý dữ liệu.

Ngoài các đối tác trên, chúng tôi chỉ chia sẻ dữ liệu khi:

Theo yêu cầu của cơ quan pháp luật có thẩm quyền tại Việt Nam.
Trường hợp sáp nhập/mua lại — Người dùng sẽ được thông báo trước 60 ngày.
Khi Người dùng đồng ý rõ ràng cho từng trường hợp cụ thể.

6Xử lý bằng Trí tuệ Nhân tạo (AI)

Dịch vụ sử dụng công nghệ AI (mô hình Google Gemini 2.5 Flash) cho các tính năng:

Trích xuất thông tin từ CCCD, hộ chiếu (GEM AI CCCD)
Đọc và bóc tách khối lượng từ bản vẽ kỹ thuật (Drawing Reader)
Phân tích rủi ro hợp đồng theo NĐ 37/2015 (Contract Risk Analysis)
Chuyển giọng nói thành văn bản nhật ký thi công (Voice Log)
Phân tích định mức vật tư và đề xuất giải pháp
Tóm tắt và sinh báo cáo đầu ngày (Morning Briefing)

Dữ liệu Người dùng gửi qua AI chỉ được dùng cho mục đích trả kết quả, không được Google sử dụng để huấn luyện mô hình theo điều khoản Google Gemini API for Enterprise.

Người dùng có quyền:

Tắt từng tính năng AI riêng lẻ trong Cài đặt dự án (Project Config).
Yêu cầu xử lý thủ công không qua AI cho các tài liệu nhạy cảm.
Xác minh và chỉnh sửa kết quả AI trước khi sử dụng cho mục đích chính thức.

Lưu ý quan trọng: AI có thể cho kết quả không chính xác. Người dùng phải tự xác minh kết quả trước khi sử dụng cho quyết định kinh doanh, kỹ thuật hoặc pháp lý.

7Lưu trữ và bảo mật

Dữ liệu được lưu trữ trên hạ tầng Supabase tại Singapore (vùng ap-southeast-1), đạt các tiêu chuẩn bảo mật quốc tế:

SOC 2 Type II — kiểm toán độc lập về kiểm soát truy cập và lưu trữ thông tin
ISO 27001 — tiêu chuẩn quản lý an ninh thông tin quốc tế

Các biện pháp kỹ thuật áp dụng:

Truyền tải: mã hóa TLS 1.2 trở lên (giao thức bảo mật khi truyền dữ liệu giữa thiết bị và máy chủ).
Lưu trữ: mã hóa AES-256 (chuẩn mã hóa của Mỹ với mức bảo mật cao nhất hiện nay).
Kiểm soát truy cập theo vai trò (RBAC): mỗi người chỉ thấy được dữ liệu trong phạm vi vai trò công việc của mình — hệ thống có 22 cấp độ quyền hạn.
Sao lưu cuộn tự động hàng ngày, lưu trữ 30 ngày (mỗi ngày tạo bản mới và tự xóa bản cũ nhất).
Nhật ký truy cập mọi dữ liệu nhạy cảm, lưu 5 năm theo Luật Kế toán.
Phát hiện và phản ứng sự cố an ninh trong vòng 72 giờ theo Nghị định 13/2023 Điều 23.
Khuyến nghị Người dùng bật xác thực 2 yếu tố (2FA — đăng nhập cần mật khẩu kèm mã OTP) cho tài khoản từ cấp Trưởng bộ phận trở lên.

8Thời gian lưu trữ dữ liệu

Loại dữ liệu	Thời gian lưu
Tài khoản đang hoạt động	Suốt thời gian sử dụng Dịch vụ
Sau khi xóa tài khoản	30 ngày để Người dùng xuất dữ liệu → sau đó xóa vĩnh viễn (không phục hồi được)
Nhật ký truy cập dữ liệu	5 năm (Luật Kế toán)
Hồ sơ pháp lý, hợp đồng, hóa đơn	10 năm (Luật Kế toán)
Vị trí GPS chấm công	90 ngày → tự động xóa
Bản sao lưu hệ thống	30 ngày (sao lưu cuộn)
Dữ liệu được cơ quan thuế yêu cầu lưu	10 năm (Luật Quản lý Thuế)

9Dữ liệu vị trí GPS

GPS chỉ được ghi nhận tại thời điểm Người dùng thực hiện chấm công vào/ra (không theo dõi liên tục), và chỉ khi Người dùng đã bật tính năng và cấp quyền truy cập vị trí cho thiết bị.

Tọa độ GPS không được chia sẻ với bất kỳ bên thứ ba nào cho mục đích ngoài vận hành Dịch vụ. Dữ liệu GPS được lưu tại Supabase Singapore (Bên Xử lý Dữ liệu) theo điều khoản bảo mật tương đương.

GPS được sử dụng để:

Xác minh vị trí chấm công có nằm trong vùng địa lý ảo (geofence) được khoanh quanh công trường — đã cấu hình sẵn theo dự án.
Tính giờ làm việc thực tế phục vụ chấm công.
Phục vụ tranh chấp lao động (nếu có) khi cần chứng minh thời điểm có mặt tại công trường.

10Quyền của Người dùng (NĐ 13/2023 Điều 9)

Quyền được biết: được thông báo về việc dữ liệu cá nhân của mình được xử lý.
Quyền đồng ý: đồng ý hoặc không đồng ý cho phép xử lý dữ liệu cá nhân.
Quyền truy cập: xem toàn bộ dữ liệu cá nhân đang được lưu trữ.
Quyền rút lại sự đồng ý bất kỳ lúc nào.
Quyền xóa dữ liệu: yêu cầu xóa tài khoản và dữ liệu trong vòng 30 ngày làm việc.
Quyền hạn chế xử lý: yêu cầu tạm dừng xử lý dữ liệu trong các trường hợp cụ thể.
Quyền chỉnh sửa: yêu cầu sửa thông tin không chính xác hoặc bổ sung thông tin còn thiếu.
Quyền phản đối: phản đối việc xử lý dữ liệu vì mục đích marketing trực tiếp hoặc các mục đích khác trái với quyền lợi hợp pháp.
Quyền chuyển dữ liệu: xuất dữ liệu định dạng bảng tính (CSV/Excel) hoặc dữ liệu cấu trúc (JSON) để chuyển sang nền tảng khác.
Quyền khiếu nại, tố cáo, khởi kiện với cơ quan có thẩm quyền khi quyền của mình bị xâm phạm.
Quyền yêu cầu bồi thường khi xảy ra vi phạm có thiệt hại.

Mọi yêu cầu thực hiện quyền vui lòng gửi đến: contact@corai.vn với tiêu đề "[Yêu cầu Quyền Dữ liệu]". Chúng tôi sẽ phản hồi trong tối đa 72 giờ làm việc và xử lý yêu cầu trong 30 ngày làm việc.

11Cookie

Chúng tôi chỉ sử dụng cookie phiên (session cookie) để duy trì trạng thái đăng nhập trong suốt phiên sử dụng. Cookie tự động hết hạn khi Người dùng đăng xuất hoặc đóng trình duyệt.

Chúng tôi KHÔNG sử dụng:

Cookie theo dõi hoặc cookie phân tích hành vi.
Cookie quảng cáo của bên thứ ba.
Kỹ thuật nhận dạng vân tay thiết bị (fingerprinting) hoặc các kỹ thuật theo dõi ngầm.

Google Analytics 4 được sử dụng cho thống kê truy cập website công khai (gemaipm.com) — không áp dụng trong ứng dụng đã đăng nhập.

12Trẻ em và lao động vị thành niên

Theo Nghị định 13/2023 Điều 19, "trẻ em" là người dưới 16 tuổi. Dịch vụ không hướng đến và không thu thập dữ liệu cá nhân của trẻ em dưới 16 tuổi. Nếu phát hiện tài khoản của trẻ em, chúng tôi sẽ xóa ngay lập tức.

Đối với lao động vị thành niên (16-18 tuổi): Theo Bộ luật Lao động 2019, người 15-18 tuổi có thể tham gia lao động ở một số ngành nghề. Tài khoản L0 (công nhân) thuộc nhóm tuổi này được phép tạo, với các điều kiện:

Có sự đồng ý của người đại diện pháp luật/giám hộ (theo Nghị định 13/2023 Điều 20).
Doanh nghiệp sử dụng (tenant — khách hàng tổ chức) chịu trách nhiệm xác minh độ tuổi và thu thập đồng ý của giám hộ.
Dữ liệu xử lý hạn chế trong phạm vi cần thiết cho công việc (chấm công, lương, chứng chỉ an toàn lao động).

13Thay đổi chính sách

Khi có thay đổi quan trọng (thay đổi mục đích, đối tác chia sẻ, quyền của Người dùng), chúng tôi sẽ thông báo qua email tối thiểu 14 ngày trước khi có hiệu lực.

Người dùng có quyền từ chối các thay đổi bằng cách hủy tài khoản trước ngày hiệu lực, được hoàn lại phí dịch vụ chia theo tỷ lệ thời gian chưa sử dụng.

Lịch sử các phiên bản chính sách được công bố tại gemaipm.com/privacy/changelog.

14Liên hệ và khiếu nại

Liên hệ chung về Bảo mật:

Email: contact@corai.vn
Người phụ trách bảo vệ dữ liệu (DPO): Phạm Anh Tuấn
Email DPO: pat@corai.vn
Điện thoại: 088 61 69 615 (Bán hàng) · 0886 22 88 48 (Hỗ trợ)
Địa chỉ: Tầng 5, 70 Phạm Ngọc Thạch, Phường Xuân Hòa, TP.HCM

Khi Người dùng cho rằng quyền của mình bị xâm phạm, có thể khiếu nại trực tiếp với chúng tôi qua email trên hoặc gửi đến cơ quan chức năng có thẩm quyền:

Cục An ninh mạng và Phòng chống tội phạm sử dụng công nghệ cao - Bộ Công an
Sở Thông tin và Truyền thông TP.HCM

1Scope

This Privacy Policy applies to GEM AI PM Pro at gemaipm.com (including redirect domains: gemclaudepm.com, gemaipm.vn) provided by CORAI TECHNOLOGY COMPANY LIMITED ("CORAI TECH", "We").

This Policy complies with Decree 13/2023/ND-CP on Personal Data Protection, the Cybersecurity Law 2018, and applicable Vietnamese laws.

CORAI TECH has registered/will register personal data processing activities with the Department of Cybersecurity and High-Tech Crime Prevention - Ministry of Public Security, in accordance with Article 45 of Decree 13/2023.

2Data Controller Information

Full Name	CORAI TECHNOLOGY COMPANY LIMITED
Vietnamese Name	CÔNG TY TNHH CÔNG NGHỆ CORAI
Short Name	CORAI TECH
Business Registration No.	0319524985
Registration Date	24/04/2026 — Department of Finance, Ho Chi Minh City
Registered Address	5th Floor, 70 Pham Ngoc Thach, Xuan Hoa Ward, Ho Chi Minh City, Vietnam
Legal Representative	Ms. Nguyen Thi Hong — Director
Phone	+84 88 61 69 615 (Sales) · +84 886 22 88 48 (Support)
Email	contact@corai.vn · info@corai.vn
Data Protection Officer (DPO)	Pham Anh Tuan — pat@corai.vn

3Data We Collect

Identity: Full name, email, phone number, ID/citizen card (if provided), company information (for business accounts).

Service Data: Project/site data, images, documents, drawings, construction logs, reports, technical forms, acceptance data, contracts, and payment records.

HR Data (HR/Manpower modules): Employee records, attendance, payroll, leave requests, safety certifications, KPI evaluations.

Technical Data: GPS location (attendance only — requires explicit device permission), IP address, device type, OS, browser, feature usage history.

Biometric Data (GEM AI CCCD feature): Face extracted from ID cards uploaded voluntarily — used only for auto-fill, not stored separately after processing.

4How We Use Your Data

To provide, operate, and improve the Service.
To verify identity and secure accounts.
To process payments and manage subscriptions.
To send technical notifications, security alerts, and customer support.
For statistical analysis (anonymized) to improve the product.
To comply with legal, accounting, and tax requirements.
To prevent fraud and protect legitimate rights of the Company and Users.

We DO NOT sell, rent, or share personal data with third parties for advertising, direct marketing, or any commercial purpose outside of operating the Service.

5Data Sharing with Third Parties

To operate the Service, we share certain data with the following technical partners, all under equivalent or stricter confidentiality obligations:

Partner	Purpose	Country
Supabase Inc.	Database, Authentication, Storage	Singapore
Google Gemini API	AI processing for text, image, PDF analysis	USA
Vercel Inc.	Hosting and CDN	Global
Resend	Transactional emails	USA
ESMS / ViHAT	SMS OTP for worker login	Vietnam
PayOS / Casso	Payment gateway	Vietnam
Cloudflare	DNS and DDoS protection	Global

Some partners host servers outside Vietnam (Supabase Singapore, Google USA). Cross-border data transfer complies with Article 25 of Decree 13/2023 and has undergone data processing impact assessment.

Beyond these partners, we share data only when:

Required by competent Vietnamese law enforcement.
In case of merger/acquisition — Users notified 60 days in advance.
With Users' explicit consent for specific cases.

6Artificial Intelligence (AI) Processing

The Service uses AI technology (Google Gemini 2.5 Flash) for the following features:

Extracting information from ID cards/passports (GEM AI CCCD)
Reading and extracting quantities from technical drawings (Drawing Reader)
Contract risk analysis per Decree 37/2015 (Contract Risk)
Voice-to-text construction logs (Voice Log)
Material breakdown analysis and recommendations
Morning Briefing report generation

Data sent to AI is used only to return results, NOT for Google to train models, per Google Gemini API for Enterprise terms.

Users have the right to:

Disable individual AI features in Project Config settings.
Request manual processing without AI for sensitive documents.
Verify and edit AI results before official use.

Important: AI may produce inaccurate results. Users must independently verify results before using them for business, technical, or legal decisions.

7Storage and Security

Data is stored on Supabase infrastructure in Singapore (ap-southeast-1 region), meeting international SOC 2 Type II and ISO 27001 standards.

In-transit: TLS 1.2+ encryption.
At-rest: AES-256 encryption.
Role-Based Access Control (RBAC) with 22 permission levels.
Daily automatic backups, 30-day rolling retention.
Sensitive data access audit log retained 5 years per Accounting Law.
Security incident detection and response within 72 hours per Decree 13/2023 Article 23.

8Data Retention

Data Type	Retention Period
Active account	Duration of Service usage
After account deletion	30 days for export → then hard-delete
Data access audit log	5 years (Accounting Law)
Legal records, contracts, invoices	10 years (Accounting Law)
GPS attendance data	90 days → auto-deleted
System backups	30 days rolling
Tax authority retention	10 years (Tax Administration Law)

9GPS Location Data

GPS is recorded only at check-in/check-out moments (not continuously), and only when Users have enabled the feature and granted device location permission.

GPS coordinates are never shared with any third party for purposes outside Service operation. GPS data is stored at Supabase Singapore (Data Processor) under equivalent confidentiality terms.

GPS is used to: verify check-in location is within configured site geofence, calculate actual working hours, and support labor disputes (if any).

10Your Rights (Decree 13/2023, Article 9)

Right to be informed: notified about processing of personal data.
Right to consent: consent or refuse personal data processing.
Right to access: view all stored personal data.
Right to withdraw consent at any time.
Right to deletion: account and data deletion within 30 business days.
Right to restriction: request to pause data processing in specific cases.
Right to rectification: request correction of inaccurate or incomplete data.
Right to object: object to direct marketing or other processing against legitimate rights.
Right to data portability: export data in CSV/JSON/Excel format.
Right to complaint, denunciation, lawsuit with competent authorities for rights violations.
Right to compensation when violations cause damages.

Submit requests to: contact@corai.vn with subject "[Data Rights Request]". We will respond within 72 business hours and resolve requests within 30 business days.

11Cookies

We use only session cookies to maintain login state during a session. Cookies expire automatically when Users log out or close the browser.

We DO NOT use:

Tracking or behavioral analytics cookies.
Third-party advertising cookies.
Fingerprinting or covert tracking techniques.

Google Analytics 4 (GA4) is used for public website (gemaipm.com) traffic statistics — not within the app.

12Minors and Young Workers

Per Decree 13/2023 Article 19, "children" are persons under 16 years old. The Service does not target nor collect personal data from children under 16. Discovered minors' accounts will be deleted immediately.

For young workers (16-18 years old): Per the Labor Code 2019, persons 15-18 may work in certain occupations. L0 (worker) accounts in this age group may be created with conditions:

Consent from legal guardian (per Decree 13/2023 Article 20).
Tenant business is responsible for verifying age and obtaining guardian consent.
Data processing limited to scope necessary for work (attendance, payroll, safety certifications).

13Policy Changes

Material changes (purpose, sharing partners, User rights) will be communicated via email at least 14 days before effective date.

Users may reject changes by canceling their account before the effective date, with pro-rated refund for unused fees.

Version history available at gemaipm.com/privacy/changelog.

14Contact and Complaints

General Privacy Inquiries:

Email: contact@corai.vn
Data Protection Officer (DPO): Pham Anh Tuan
DPO Email: pat@corai.vn
Phone: +84 88 61 69 615 (Sales) · +84 886 22 88 48 (Support)
Address: 5th Floor, 70 Pham Ngoc Thach, Xuan Hoa Ward, Ho Chi Minh City

If Users believe their rights have been violated, they may complain directly via the email above or to competent authorities:

Department of Cybersecurity and High-Tech Crime Prevention - Ministry of Public Security
Department of Information and Communications, Ho Chi Minh City

Chính sách Bảo mật Dữ liệu