Cập nhật lần cuối: 01 tháng 04 năm 2026
Chính sách này mô tả cách MedExam BMMC thu thập, sử dụng và bảo vệ thông tin cá nhân của bạn. Chúng tôi cam kết tôn trọng quyền riêng tư và tuân thủ các quy định pháp luật về bảo vệ dữ liệu cá nhân.
1. Thông tin chúng tôi thu thập
Khi bạn đăng ký tài khoản, chúng tôi thu thập: họ tên, địa chỉ email, và mật khẩu đã mã hoá (bcrypt). Trong quá trình sử dụng, chúng tôi ghi lại dữ liệu học tập (kết quả bài kiểm tra, tiến độ khoá học) để cá nhân hoá trải nghiệm. Nếu bạn sử dụng đăng nhập qua Google, chúng tôi nhận email và ảnh đại diện công khai từ Google OAuth.
2. Cách chúng tôi sử dụng thông tin
Thông tin thu thập được dùng để: vận hành và cải thiện dịch vụ, gửi thông báo học tập và cập nhật tính năng (qua email), phân tích hành vi học tập ẩn danh để cải thiện nội dung, và xử lý thanh toán. Chúng tôi không bán thông tin cá nhân của bạn cho bên thứ ba.
3. Chia sẻ thông tin
Chúng tôi chỉ chia sẻ thông tin với: đối tác thanh toán (SePay) để xử lý giao dịch, nhà cung cấp dịch vụ hạ tầng (hosting, email) với hợp đồng bảo mật, và cơ quan pháp luật khi có yêu cầu hợp pháp. Trong mọi trường hợp, dữ liệu chỉ được chia sẻ ở mức tối thiểu cần thiết.
4. Bảo mật dữ liệu
Chúng tôi áp dụng các biện pháp kỹ thuật: mã hoá HTTPS toàn bộ kết nối, mật khẩu băm bằng bcrypt, JWT tokens với thời hạn ngắn, và Redis để quản lý phiên đăng nhập an toàn (chính sách 1 thiết bị). Dữ liệu được sao lưu định kỳ và lưu trữ trong môi trường được kiểm soát.
5. Cookie và Lưu trữ cục bộ
Chúng tôi sử dụng cookie HTTP-only để lưu refresh token (không thể truy cập bằng JavaScript). Access token được lưu trong bộ nhớ ứng dụng (in-memory), không trong localStorage. Bạn có thể xoá cookie qua cài đặt trình duyệt, nhưng điều này sẽ yêu cầu đăng nhập lại.
6. Quyền của bạn
Bạn có quyền: truy cập và xuất dữ liệu cá nhân, chỉnh sửa thông tin hồ sơ bất kỳ lúc nào, yêu cầu xoá tài khoản và toàn bộ dữ liệu liên quan (xử lý trong 30 ngày), và rút lại sự đồng ý nhận email tiếp thị. Để thực hiện các quyền này, liên hệ privacy@medexambmmc.io.vn.
7. Lưu giữ dữ liệu
Dữ liệu học tập được lưu giữ trong suốt thời gian tài khoản hoạt động. Sau khi xoá tài khoản, dữ liệu cá nhân sẽ bị xoá trong 30 ngày. Dữ liệu ẩn danh tổng hợp (không thể nhận dạng cá nhân) có thể được giữ lại cho mục đích nghiên cứu.
8. Dịch vụ bên thứ ba
MedExam sử dụng Google OAuth để đăng nhập nhanh. Khi sử dụng tính năng này, chính sách bảo mật của Google cũng áp dụng. Chúng tôi không kiểm soát cách Google xử lý dữ liệu của bạn trên nền tảng của họ.
9. Trẻ em
MedExam không cố ý thu thập thông tin từ người dùng dưới 13 tuổi. Nếu bạn là phụ huynh và phát hiện con bạn đã cung cấp thông tin cá nhân, vui lòng liên hệ để chúng tôi xoá thông tin đó.
10. Liên hệ về bảo mật
Nếu bạn phát hiện lỗ hổng bảo mật hoặc có câu hỏi về chính sách này, liên hệ: privacy@medexambmmc.io.vn. Chúng tôi cam kết phản hồi trong vòng 72 giờ.