Dưới đây là CHÍNH SÁCH BẢO MẬT (bản chi tiết) dành cho Công ty Cổ phần Core FinTech (“CoreFinTech”, “Chúng tôi”) khi người dùng cung cấp dữ liệu để sử dụng các dịch vụ được mô tả trên website CoreFinTech (chấm điểm tín dụng, P2P Lending, Open API, eKYC/eSignature, thanh toán số, tư vấn/thu xếp vốn…). (corefintech.io.vn)

CHÍNH SÁCH BẢO MẬT – CORE FINTECH

Cập nhật lần cuối: 14/01/2026
Đơn vị kiểm soát dữ liệu (Data Controller): Công ty Cổ phần Core FinTech (“CoreFinTech”) 
Liên hệ:

  • Địa chỉ: 232 Nguyễn Lương Bằng, phường Tân Mỹ, TP. Hồ Chí Minh, Việt Nam 

  • Điện thoại: 0989572764 

  • Email: contact@corefintech.io.vn 

Chính sách này mô tả cách CoreFinTech thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ dữ liệu của bạn; cũng như quyền của bạn đối với dữ liệu cá nhân theo quy định pháp luật hiện hành, bao gồm Nghị định 13/2023/NĐ-CP và các quy định liên quan. 

1) Phạm vi áp dụng

Chính sách này áp dụng cho:

  1. Người dùng truy cập/đăng ký/điền form trên các website, cổng dịch vụ và kênh trực tuyến do CoreFinTech vận hành (bao gồm các trang giới thiệu dịch vụ, biểu mẫu “Bắt đầu/Kết nối nguồn vốn”, v.v.). 

  2. Khách hàng cá nhân, đại diện doanh nghiệp SME, nhà đầu tư, đối tác sử dụng các giải pháp/ dịch vụ như:

    • Chấm điểm tín dụng SME (thu thập – chuẩn hóa dữ liệu đa nguồn, phân tích AI, báo cáo điểm). 

    • Kết nối vay – cho vay ngang hàng (P2P Lending) (định danh eKYC, chấm điểm, quản lý hợp đồng & dòng tiền). 

    • Kết nối dữ liệu tài chính qua Open API (đồng bộ dữ liệu ngân hàng/ ví/ bảo hiểm/ đầu tư; ghi log; cấp/thu hồi quyền truy cập). 

    • Định danh điện tử & hợp đồng số (eKYC, eSignature, lưu trữ hợp đồng). 

    • Giải pháp thanh toán số (QR/thẻ/ví/IB; đối soát; cảnh báo gian lận). 

    • Và các dịch vụ tư vấn/thu xếp vốn, tái cấu trúc tín dụng, thuê mua tài chính… 

2) Cơ sở pháp lý và nguyên tắc bảo vệ dữ liệu

CoreFinTech thực hiện xử lý dữ liệu cá nhân theo:

  • Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân (có hiệu lực 01/07/2023). 

  • Luật An ninh mạng 2018 và quy định về an toàn thông tin, an ninh mạng có liên quan. 

  • Trong hoạt động FinTech, các mô hình như chấm điểm tín dụng, Open API, P2P Lending thuộc nhóm giải pháp được quy định trong cơ chế thử nghiệm có kiểm soát (sandbox) theo Nghị định 94/2025/NĐ-CP

Nguyên tắc cốt lõi CoreFinTech áp dụng:

  1. Minh bạch & có mục đích: Thu thập đúng loại dữ liệu cần thiết cho mục đích dịch vụ đã nêu.

  2. Tối thiểu hóa dữ liệu: Không thu thập quá mức.

  3. Bảo mật theo vòng đời dữ liệu: Thu thập → truyền → lưu → xử lý → chia sẻ → xóa/hủy.

  4. Kiểm soát bởi chủ thể dữ liệu: Bạn có quyền cấp/thu hồi quyền truy cập dữ liệu, đặc biệt với kết nối Open API. 

3) Định nghĩa (để tránh hiểu nhầm)

  • “Dữ liệu cá nhân”: Thông tin gắn liền với một cá nhân hoặc giúp xác định một cá nhân. 

  • “Dữ liệu cá nhân nhạy cảm”: Bao gồm (không giới hạn) dữ liệu tài chính, sinh trắc học, định danh… theo quy định pháp luật; việc xử lý nhóm dữ liệu này cần yêu cầu bảo vệ chặt chẽ hơn. 

  • “Xử lý dữ liệu”: Thu thập, ghi, phân tích, lưu trữ, chia sẻ, xóa… 

  • “Bên thứ ba/Đối tác”: Ngân hàng, tổ chức tài chính, nhà cung cấp eKYC/eSignature, trung gian thanh toán, nhà cung cấp hạ tầng kỹ thuật, tư vấn pháp lý/kiểm toán… có liên quan đến việc cung cấp dịch vụ cho bạn. 

4) CoreFinTech thu thập những dữ liệu nào?

4.1. Dữ liệu bạn cung cấp trực tiếp

Tùy dịch vụ, có thể bao gồm:

  • Thông tin định danh & liên hệ: Họ tên, số điện thoại, email, địa chỉ, chức danh/người đại diện (đối với doanh nghiệp).

  • Thông tin doanh nghiệp (SME): Tên doanh nghiệp, mã số thuế, ngành nghề, địa chỉ trụ sở, thông tin người đại diện/ủy quyền, hồ sơ năng lực…

  • Thông tin nhu cầu tài chính: Mục đích vốn, hạn mức mong muốn, thời hạn, tài sản/nguồn trả nợ dự kiến, tài liệu chứng minh…

  • Tài liệu bạn tải lên (nếu có): hồ sơ tài chính, báo cáo, chứng từ, hợp đồng, phụ lục… phục vụ thẩm định/chuẩn hóa hồ sơ. 

4.2. Dữ liệu tài chính đa nguồn (khi bạn đồng ý kết nối/đồng bộ)

Theo mô tả dịch vụ chấm điểm & Open API, CoreFinTech có thể xử lý dữ liệu như:

  • Dữ liệu từ ngân hàng, hóa đơn điện tử, POS, thuế, ví điện tử để tạo hồ sơ tín dụng tổng thể và phục vụ chấm điểm. 

  • Dữ liệu giao dịch từ nhiều ngân hàng/ ví, và có thể tích hợp dữ liệu bảo hiểm/đầu tư qua Open API. 

4.3. Dữ liệu eKYC/eSignature (định danh & hợp đồng số)

Khi dùng eKYC/eSignature, dữ liệu có thể gồm:

  • Ảnh giấy tờ, ảnh chân dung/nhận diện, kết quả đối sánh, dữ liệu OCR trích xuất từ giấy tờ, lịch sử xác thực. 

  • Thông tin ký hợp đồng số: OTP/QR/CA (tùy phương thức), dấu thời gian, mã định danh hợp đồng, log ký. 

4.4. Dữ liệu giao dịch thanh toán (nếu bạn dùng giải pháp thanh toán số)

  • Dữ liệu giao dịch, đối soát, phí, trạng thái thanh toán, cảnh báo gian lận/bất thường. 

4.5. Dữ liệu kỹ thuật khi bạn dùng website/ứng dụng

  • IP, loại thiết bị, trình duyệt, log truy cập, cookies/SDK (nếu có), thông tin phiên (session), lỗi hệ thống, hành vi tương tác để vận hành – bảo mật – cải thiện trải nghiệm.

Lưu ý: Với Open API, CoreFinTech mô tả cơ chế ghi log mọi yêu cầu truy cập (mã định danh, thời gian, nội dung) nhằm kiểm tra – đối soát – tuân thủ. 

5) CoreFinTech thu thập dữ liệu từ đâu?

  1. Từ bạn: đăng ký tài khoản, điền form, trao đổi với tư vấn viên, cung cấp hồ sơ. 

  2. Từ kết nối bạn cho phép: ngân hàng/ ví/ hệ thống hóa đơn/ thuế/ POS qua Open API hoặc cơ chế tích hợp hợp pháp. 

  3. Từ đối tác cung cấp dịch vụ (khi bạn dùng): eKYC/eSignature, trung gian thanh toán, ngân hàng giám sát dòng tiền (trong P2P). 

6) Mục đích xử lý dữ liệu (CoreFinTech dùng dữ liệu để làm gì?)

CoreFinTech xử lý dữ liệu để:

6.1. Cung cấp dịch vụ và thực hiện yêu cầu của bạn

  • Chấm điểm tín dụng & lập hồ sơ năng lực tài chính: chuẩn hóa dữ liệu, phân tích doanh thu–chi phí–dòng tiền, lịch sử trả nợ, xuất báo cáo điểm và khuyến nghị cải thiện. 

  • Kết nối nguồn vốn: ghép nối nhu cầu vốn với ngân hàng/quỹ/nhà đầu tư phù hợp theo hồ sơ và điểm tín dụng. 

  • P2P Lending: eKYC, công bố hồ sơ vay minh bạch, phân loại rủi ro, quản lý hợp đồng và luồng thanh toán. 

  • Open API: đồng bộ dữ liệu đa kênh giúp quản lý tài chính tập trung, rút ngắn thời gian thẩm định. 

  • eKYC/eSignature & hợp đồng số: xác thực danh tính, ký kết và lưu trữ hợp đồng, phục vụ đối soát/kiểm toán khi cần. 

  • Thanh toán số: xử lý thanh toán, đối soát, báo cáo, cảnh báo gian lận. 

6.2. Tuân thủ pháp lý và quản trị rủi ro

  • KYC/AML và các nghĩa vụ tuân thủ liên quan (đặc biệt trong mô hình P2P Lending và các dịch vụ tài chính). 

  • Xử lý khiếu nại, tranh chấp, yêu cầu của cơ quan nhà nước có thẩm quyền (nếu có).

6.3. Bảo mật hệ thống, phòng chống gian lận

  • Kiểm soát truy cập, ghi log, phát hiện hành vi bất thường (ví dụ gian lận thanh toán). 

6.4. Cải tiến sản phẩm và thống kê

  • Phân tích dữ liệu ẩn danh/tổng hợp để cải thiện thuật toán chấm điểm, trải nghiệm người dùng, chất lượng vận hành (trong phạm vi pháp luật cho phép).

6.5. Truyền thông, chăm sóc khách hàng, marketing (nếu bạn đồng ý)

  • Gửi thông báo dịch vụ, hướng dẫn hồ sơ, cập nhật sản phẩm/ưu đãi.

  • Bạn có thể từ chối/huỷ đăng ký nhận thông tin marketing bất cứ lúc nào.

7) Cơ sở xử lý dữ liệu: Khi nào CoreFinTech được phép xử lý?

CoreFinTech xử lý dữ liệu theo một hoặc nhiều cơ sở sau:

  1. Bạn đồng ý (consent): đặc biệt khi kết nối dữ liệu ngân hàng/ ví qua Open API, chia sẻ kết quả chấm điểm cho bên tài trợ vốn, xử lý dữ liệu nhạy cảm… 

  2. Thực hiện hợp đồng/yêu cầu dịch vụ: để cung cấp các dịch vụ bạn đăng ký.

  3. Nghĩa vụ pháp lý: tuân thủ quy định pháp luật áp dụng. 

  4. Lợi ích hợp pháp: an ninh hệ thống, phòng chống gian lận, bảo vệ quyền và lợi ích hợp pháp của CoreFinTech/người dùng (trong giới hạn pháp luật).

8) Cơ chế xin – ghi nhận – rút lại sự đồng ý (Consent Management)

8.1. Với Open API (dữ liệu ngân hàng/ ví/ bảo hiểm/ đầu tư)

CoreFinTech mô tả cơ chế:

  • Dữ liệu chỉ được truy cập khi có sự đồng ý hợp lệ của khách hàng;

  • Khách hàng có thể cấp hoặc thu hồi quyền truy cập bất cứ lúc nào;

  • Mọi yêu cầu truy cập được ghi log phục vụ kiểm tra và tuân thủ. 

8.2. Với chia sẻ kết quả chấm điểm cho tổ chức tài chính

Khi cần cung cấp kết quả chấm điểm cho ngân hàng/quỹ/đối tác thẩm định qua API, CoreFinTech chỉ thực hiện khi có cơ sở hợp pháp (thông thường là đồng ý hoặc theo hợp đồng/yêu cầu của khách hàng). 

8.3. Cách rút lại đồng ý

Bạn có thể rút lại sự đồng ý bằng một trong các cách:

  • Thao tác “Thu hồi quyền truy cập” trong màn hình/thiết lập (nếu có); hoặc

  • Gửi yêu cầu về email contact@corefintech.io.vn kèm thông tin xác thực (họ tên/số điện thoại/email và nội dung yêu cầu). 

9) CoreFinTech chia sẻ dữ liệu với ai?

CoreFinTech không bán dữ liệu cá nhân của bạn như một “hàng hóa dữ liệu”. Việc chia sẻ (nếu có) chỉ trong phạm vi cần thiết cho mục đích dịch vụ và tuân thủ pháp luật.

9.1. Nhóm bên nhận dữ liệu có thể bao gồm

  1. Ngân hàng/tổ chức tài chính/quỹ/nhà đầu tư: để thẩm định – kết nối vốn theo hồ sơ và điểm tín dụng; hoặc phục vụ cơ chế tài khoản giám sát dòng tiền trong P2P Lending. 

  2. Đối tác cung cấp eKYC/eSignature: để xác thực danh tính, ký và chứng thực hợp đồng số. 

  3. Đối tác thanh toán/ngân hàng kết nối: phục vụ xử lý giao dịch thanh toán số và đối soát. 

  4. Đơn vị thu hồi nợ hợp pháp (nếu phát sinh khoản vay quá hạn trong mô hình P2P): phối hợp xử lý theo quy định. 

  5. Tư vấn luật/kiểm toán/chuyên gia (khi cần): đặc biệt trong các gói tư vấn tái cấu trúc tín dụng có phối hợp tư vấn pháp lý. 

  6. Nhà cung cấp hạ tầng kỹ thuật (cloud, lưu trữ, giám sát an ninh, email/SMS): theo hợp đồng xử lý dữ liệu, chỉ theo chỉ dẫn của CoreFinTech.

9.2. Nguyên tắc chia sẻ

  • Chia sẻ theo mục đích cụ thể, tối thiểu hóa dữ liệu, có kiểm soát truy cập, có hợp đồng ràng buộc nghĩa vụ bảo mật.

  • Khi cần, CoreFinTech áp dụng ẩn danh/pseudonymization/che dữ liệu để giảm rủi ro.

10) Lưu trữ dữ liệu ở đâu? Có chuyển dữ liệu ra nước ngoài không?

  • CoreFinTech có thể lưu trữ dữ liệu trên hệ thống máy chủ/đám mây do CoreFinTech hoặc nhà cung cấp dịch vụ vận hành.

  • Trường hợp có hoạt động chuyển dữ liệu ra nước ngoài (ví dụ dùng dịch vụ hạ tầng toàn cầu), CoreFinTech sẽ thực hiện các biện pháp tuân thủ theo Nghị định 13/2023/NĐ-CP và quy định liên quan (đánh giá rủi ro, biện pháp bảo vệ, thủ tục theo yêu cầu pháp luật). 

11) Thời hạn lưu giữ dữ liệu

CoreFinTech lưu giữ dữ liệu theo nguyên tắc:

  1. Trong thời gian cần thiết để cung cấp dịch vụ, xử lý yêu cầu, thực hiện hợp đồng; và/hoặc

  2. Theo thời hạn luật định (kế toán, thuế, phòng chống gian lận, giải quyết tranh chấp…); và/hoặc

  3. Cho đến khi bạn yêu cầu xóa (nếu pháp luật cho phép xóa tại thời điểm yêu cầu).

12) CoreFinTech bảo vệ dữ liệu bằng cách nào?

CoreFinTech triển khai các biện pháp kỹ thuật và tổ chức phù hợp, ví dụ:

  • Mã hóa đường truyền (TLS) và/hoặc mã hóa dữ liệu phù hợp theo mức độ rủi ro. 

  • Kiểm soát truy cập theo vai trò, nguyên tắc “ít quyền nhất” (least privilege), xác thực đa lớp (khi phù hợp).

  • Ghi log & giám sát truy cập dữ liệu, đặc biệt với Open API. 

  • Phòng chống gian lận trong thanh toán (phát hiện bất thường). 

  • Quản trị nhà cung cấp: ràng buộc bảo mật trong hợp đồng với bên xử lý dữ liệu.

13) Xử lý sự cố và thông báo vi phạm dữ liệu

Khi phát hiện vi phạm quy định về bảo vệ dữ liệu cá nhân, CoreFinTech thực hiện:

  1. Kích hoạt quy trình ứng phó sự cố; cô lập – khắc phục – điều tra nguyên nhân;

  2. Thực hiện thông báo đến cơ quan có thẩm quyền trong vòng 72 giờ theo quy định (khi thuộc trường hợp phải thông báo) và cung cấp lý do nếu thông báo trễ. 

  3. Thông báo cho người dùng bị ảnh hưởng (nếu cần thiết theo tính chất sự cố và yêu cầu pháp luật).

14) Quyền của bạn đối với dữ liệu cá nhân

Theo pháp luật về bảo vệ dữ liệu cá nhân, bạn có thể có các quyền (tùy trường hợp), bao gồm:

  1. Quyền được biết về hoạt động xử lý dữ liệu;

  2. Quyền đồng ý và rút lại đồng ý;

  3. Quyền truy cập/xem dữ liệu;

  4. Quyền chỉnh sửa/cập nhật dữ liệu;

  5. Quyền xóa dữ liệu (khi pháp luật cho phép);

  6. Quyền hạn chế/phản đối xử lý trong một số trường hợp;

  7. Quyền khiếu nại/tố cáo/khởi kiện theo quy định.

Cách thực hiện quyền: gửi yêu cầu về contact@corefintech.io.vn kèm thông tin xác thực và nội dung yêu cầu. 

Thời gian xử lý: CoreFinTech phản hồi theo thời hạn hợp lý và/hoặc theo quy định pháp luật áp dụng.

15) Cookies và công nghệ theo dõi

CoreFinTech có thể sử dụng cookies/session và công nghệ tương tự để:

  • Duy trì phiên đăng nhập, ghi nhớ lựa chọn, cải thiện hiệu năng;

  • Phân tích thống kê truy cập nhằm nâng cao trải nghiệm và an toàn hệ thống.

16) Dữ liệu của trẻ em

Dịch vụ của CoreFinTech chủ yếu hướng đến cá nhân có nhu cầu tài chính và doanh nghiệp SME. Nếu CoreFinTech phát hiện thu thập dữ liệu của trẻ em trái với quy định pháp luật hoặc không có sự chấp thuận hợp lệ của người giám hộ, CoreFinTech sẽ thực hiện biện pháp phù hợp để ngừng xử lý và xóa/ẩn danh theo quy định.

17) Thay đổi chính sách

CoreFinTech có thể cập nhật Chính sách bảo mật để phản ánh thay đổi pháp luật, công nghệ, hoặc cách thức cung cấp dịch vụ. Phiên bản cập nhật sẽ được công bố trên kênh chính thức của CoreFinTech và ghi rõ ngày “Cập nhật lần cuối”.

18) Liên hệ và kênh tiếp nhận yêu cầu

Nếu bạn có câu hỏi, yêu cầu thực hiện quyền dữ liệu, hoặc phản ánh về bảo mật, vui lòng liên hệ:

  • Email: contact@corefintech.io.vn

  • Điện thoại: 0989572764

  • Địa chỉ: 232 Nguyễn Lương Bằng, phường Tân Mỹ, TP. Hồ Chí Minh, Việt Nam 

PHỤ LỤC A – Cam kết riêng

  1. Kết nối Open API

  • “Tôi đồng ý cho CoreFinTech truy cập dữ liệu tài chính từ (tên ngân hàng/ví/đối tác) thông qua Open API để phục vụ (chấm điểm tín dụng/kết nối vốn/quản lý tài chính tập trung…). Tôi hiểu rằng tôi có thể thu hồi quyền truy cập bất cứ lúc nào.” 

  1. Chia sẻ kết quả chấm điểm

  • “Tôi đồng ý cho CoreFinTech chia sẻ kết quả chấm điểm/hồ sơ tín dụng cho (tên ngân hàng/quỹ/đối tác) nhằm thẩm định và đề xuất gói vốn phù hợp.” 

  1. eKYC/eSignature

  • “Tôi đồng ý thực hiện eKYC và ký hợp đồng số; hiểu rằng dữ liệu định danh/hợp giúp xác thực và lưu trữ phục vụ đối soát/kiểm toán theo quy định.”