Chính sách Bảo mật

Chúng tôi là ai

IbiPoint eSIM Shop
Vận hành bởi IbiPoint Ltd
128 City Road, London EC1V 2NX, Vương quốc Anh
Email: contact@ibipoint.com
Hỗ trợ: support.ibipoint.com

IbiPoint Ltd là người kiểm soát dữ liệu cho dữ liệu cá nhân được xử lý thông qua các trang web của chúng tôi (ibipoint.com, ibipoint.es, worldwideesim.com, worldwide-esim.com, worldwide-sim.com, easy-esim.com, esim-global.vip, hel-kom.de, green-esim.de, green-esim.com, esim.green, esim.reise) và các ứng dụng di động của chúng tôi (iOS và Android).

Đại diện EU / EEA (GDPR Điều 27)

Đối với các yêu cầu bảo vệ dữ liệu từ EU / EEA, đại diện được chỉ định của chúng tôi có thể được liên hệ tại:

IbiPoint Ltd
Carrer de can Custera 380
07817 Sant Jordi de ses Salines / Ibiza / Tây Ban Nha
Email: contact@ibipoint.com

Phạm vi của Chính sách này

Chính sách Bảo mật này áp dụng cho tất cả dữ liệu thu thập qua:

• Các trang web và tên miền phụ của chúng tôi (ibipoint.com, ibipoint.es, worldwideesim.com, worldwide-esim.com, worldwide-sim.com, easy-esim.com, esim-global.vip, hel-kom.de, green-esim.de, green-esim.com, esim.green, esim.reise)
• Các ứng dụng di động của chúng tôi cho iOS (Apple App Store) và Android (Google Play Store)
• Tất cả các dịch vụ có sẵn thông qua các nền tảng trên, bao gồm mua eSIM, nạp tiền eSIM và hỗ trợ khách hàng

Các ứng dụng di động của chúng tôi hiển thị IbiPoint eSIM Shop trong trình duyệt trong ứng dụng. Theo mặc định, các ứng dụng không đặt cookie phân tích hoặc tiếp thị — sự đồng ý bị từ chối trừ khi bạn chủ động cấp thông qua biểu ngữ đồng ý trong ứng dụng.

Dữ liệu chúng tôi thu thập & Lý do

1. Dữ liệu thiết yếu (luôn thu thập)

• Dữ liệu đơn hàng và tài khoản: tên, địa chỉ email, địa chỉ thanh toán, chi tiết đơn hàng eSIM, chi tiết đơn hàng nạp tiền
• Dữ liệu kỹ thuật: địa chỉ IP (để ngăn chặn gian lận và bảo mật), mã quốc gia, loại trình duyệt, loại thiết bị, mã nhận dạng phiên
• Xác nhận thanh toán: kết quả giao dịch (thành công/thất bại) từ Stripe — chúng tôi không bao giờ thấy hoặc lưu trữ số thẻ đầy đủ của bạn

Cơ sở pháp lý: Thực hiện hợp đồng (GDPR Điều 6(1)(b)); lợi ích hợp pháp trong việc ngăn chặn gian lận và bảo mật nền tảng (Điều 6(1)(f)); tuân thủ nghĩa vụ pháp lý (Điều 6(1)(c)).

2. Phân tích (có sự đồng ý)

Nếu bạn cho phép, chúng tôi sử dụng Google Analytics 4 (GA4) để hiểu cách mọi người sử dụng cửa hàng và cải thiện trải nghiệm. GA4 không lưu trữ địa chỉ IP đầy đủ. Chúng tôi cũng có thể sử dụng công cụ phân tích nội bộ (IbiPoint Live Visitor Monitor) theo dõi hoạt động phiên ẩn danh mà không lưu trữ địa chỉ IP hoặc dữ liệu cá nhân. Công cụ này yêu cầu đồng ý và chỉ chạy khi bạn cấp sự đồng ý phân tích.

Cơ sở pháp lý: Sự đồng ý của bạn (GDPR Điều 6(1)(a)).

3. Quảng cáo (có sự đồng ý)

Nếu bạn cho phép, chúng tôi sử dụng Google Ads để đo lường hiệu suất các chiến dịch quảng cáo của chúng tôi — ví dụ, để biết liệu ai đó nhấp vào một trong các quảng cáo của chúng tôi có hoàn thành mua hàng không. Chúng tôi không sử dụng dữ liệu của bạn cho remarketing, quảng cáo hành vi xuyên trang, hoặc nhắm mục tiêu quảng cáo được cá nhân hóa trên các trang web khác.

Chúng tôi triển khai Google Consent Mode v2:

• Lưu trữ quảng cáo & dữ liệu người dùng: yêu cầu đồng ý. Nếu bạn cho phép, Google có thể lưu trữ cookie quảng cáo và sử dụng dữ liệu của bạn chỉ để đo lường hiệu suất quảng cáo của chúng tôi.
• Cá nhân hóa quảng cáo: luôn bị từ chối. Chúng tôi không bao giờ sử dụng dữ liệu của bạn cho remarketing hoặc nhắm mục tiêu quảng cáo được cá nhân hóa, bất kể sự đồng ý.

Chúng tôi không “bán” hoặc “chia sẻ” dữ liệu cá nhân của bạn theo định nghĩa của luật bảo mật tiểu bang Hoa Kỳ — bao giờ hết.

Cơ sở pháp lý: Sự đồng ý của bạn (GDPR Điều 6(1)(a)).

4. Thanh toán

Tất cả các thanh toán được xử lý bởi Stripe. Stripe hỗ trợ nhiều phương thức thanh toán bao gồm thẻ tín dụng và thẻ ghi nợ, Apple Pay, Google Pay, PayPal, Alipay, Amazon Pay và nhiều phương thức khác. Stripe hoạt động như một người kiểm soát dữ liệu độc lập đối với dữ liệu thanh toán mà họ xử lý và phải tuân theo các nghĩa vụ bảo mật riêng theo PCI-DSS, GDPR và các quy định tài chính hiện hành.

Chúng tôi chỉ nhận từ Stripe kết quả giao dịch (thành công hoặc thất bại), tham chiếu thẻ rút gọn (bốn chữ số cuối) và thông tin cần thiết để hoàn thành đơn hàng của bạn. Chúng tôi không bao giờ thấy hoặc lưu trữ số thẻ đầy đủ, CVV hoặc thông tin xác thực thanh toán nhạy cảm khác của bạn.

5. Bảo vệ chống gian lận

Để bảo vệ khách hàng và hệ thống thanh toán, chúng tôi sử dụng nhiều lớp phòng chống gian lận:

• Stripe Radar: Phát hiện gian lận học máy của Stripe phân tích các mô hình giao dịch để chặn các thanh toán gian lận.
• Cloudflare Turnstile: Trong quá trình thanh toán, chúng tôi sử dụng Cloudflare Turnstile để xác minh rằng giao dịch được khởi tạo bởi người thật, không phải bot. Turnstile chỉ chạy trên các trang thanh toán và được phân loại là thiết yếu cho bảo mật thanh toán. Không cần sự đồng ý riêng.
• Chữ ký thiết bị bảo mật (SDS): Hệ thống phát hiện gian lận nội bộ của chúng tôi thu thập các tín hiệu kỹ thuật từ thiết bị của bạn trong quá trình thanh toán (chẳng hạn như độ phân giải màn hình, loại trình duyệt, múi giờ và khả năng đồ họa) và chuyển đổi chúng thành một hash một chiều duy nhất. Chỉ hash này được lưu trữ — không phải dữ liệu cơ bản. Hash chỉ được sử dụng để phát hiện gian lận và bị xóa trong vòng 30 ngày sau khi đơn hàng của bạn được hoàn thành.
• Bảo mật dựa trên IP: Chúng tôi xử lý địa chỉ IP để giới hạn tốc độ và mục đích bảo mật. Nếu hệ thống của chúng tôi phát hiện các mô hình nhất quán với hoạt động gian lận (chẳng hạn như các lần thử thanh toán thất bại lặp đi lặp lại), quyền truy cập có thể bị hạn chế tạm thời. Việc xử lý này liên quan đến việc ra quyết định tự động có thể ảnh hưởng đến khả năng hoàn thành giao dịch mua của bạn. Bạn có quyền tranh chấp các quyết định đó — xem “Quyền của bạn” bên dưới.

Cơ sở pháp lý:

• EU / EEA / UK: Lợi ích hợp pháp trong việc ngăn chặn gian lận (GDPR Điều 6(1)(f)). Đối với các quyết định tự động ảnh hưởng đáng kể đến bạn, chúng tôi dựa vào Điều 22(2)(b) (sự cần thiết cho thực hiện hợp đồng) và cung cấp cho bạn quyền nhận xét lại của con người.
• California / Hoa Kỳ: Mục đích kinh doanh theo CCPA — chúng tôi không bán dữ liệu này.
• Brazil: Lợi ích hợp pháp theo LGPD (Điều 7, X).
• Nhật Bản: Cần thiết để bảo vệ tính mạng, thân thể hoặc tài sản theo APPI.
• Úc: Được phép theo Luật Bảo mật Úc để ngăn chặn gian lận.
• Các khu vực khác: Phòng chống gian lận theo luật hiện hành.

Để đặt câu hỏi hoặc tranh chấp quyết định tự động, liên hệ contact@ibipoint.com.

6. Thông tin liên lạc

Chúng tôi gửi email giao dịch liên quan đến đơn hàng của bạn (xác nhận, hóa đơn, giao eSIM, trạng thái dịch vụ, thông báo thanh toán thất bại). Những email này cần thiết để thực hiện hợp đồng với bạn và không yêu cầu sự đồng ý tiếp thị.

Email trạng thái dịch vụ có thể bao gồm lời mời ngắn gọn để nạp tiền eSIM hoặc để lại đánh giá. Những email này được coi là một phần của giao dịch và nằm trong phạm vi thông tin liên lạc hợp pháp về dịch vụ bạn đã mua.

Nếu bạn đăng ký email tiếp thị (tùy chọn, chỉ khi tự nguyện đăng ký), chúng tôi xử lý địa chỉ email của bạn để gửi nội dung quảng cáo. Bạn có thể hủy đăng ký bất cứ lúc nào.

Cơ sở pháp lý (giao dịch): Thực hiện hợp đồng (GDPR Điều 6(1)(b)).
Cơ sở pháp lý (tiếp thị): Sự đồng ý của bạn (GDPR Điều 6(1)(a)); hoặc, đối với khách hàng hiện tại nhận thông tin liên lạc sản phẩm liên quan, lợi ích hợp pháp (Điều 6(1)(f)) theo ngoại lệ “soft opt-in” theo quy tắc ePrivacy.

Khách truy cập quốc tế

Chúng tôi sử dụng Cloudflare làm CDN và nhà cung cấp bảo mật. Cloudflare gửi mã quốc gia của trình duyệt của bạn đến máy chủ của chúng tôi. Điều này giúp chúng tôi:

• Hiển thị đúng ngôn ngữ và tiền tệ
• Áp dụng chế độ bảo mật chính xác cho khu vực của bạn

Chế độ bảo mật:

• Chặn cứng (EU / EEA / UK): Bạn phải chấp nhận hoặc từ chối cookie không cần thiết trước khi chúng được đặt.
• Chế độ mềm (phần còn lại của thế giới): Trang web vẫn có thể sử dụng trong khi bạn quyết định. Cookie không cần thiết không được đặt cho đến khi bạn đồng ý.

Tra cứu mã quốc gia không chia sẻ dữ liệu cá nhân với bên thứ ba.

Chúng tôi lưu giữ dữ liệu bao lâu

Loại dữ liệu	Thời gian lưu giữ
Đơn hàng & hóa đơn	6–10 năm (yêu cầu pháp lý & thuế)
Hash phát hiện gian lận (SDS)	Xóa trong vòng 30 ngày sau khi hoàn thành đơn hàng
Nhật ký bảo mật (bao gồm dữ liệu IP)	Lên đến 90 ngày; dữ liệu cá nhân được ẩn danh trong vòng 30 ngày
Tin nhắn hỗ trợ	Cho đến khi giải quyết vấn đề + tối đa 12 tháng
Dữ liệu phân tích & quảng cáo	Lên đến 26 tháng (mặc định GA4)
Hồ sơ đồng ý	12 tháng (bằng chứng tuân thủ)
Tùy chọn email tiếp thị	Cho đến khi bạn hủy đăng ký + tối đa 30 ngày

Siêu dữ liệu gian lận cấp đơn hàng (chẳng hạn như cờ tranh chấp hoặc hồ sơ hoàn tiền) được lưu giữ cùng với đơn hàng trong cùng thời gian lưu giữ pháp lý (6–10 năm) theo yêu cầu tuân thủ và giải quyết tranh chấp.

Quyền của bạn

EU / EEA / UK (GDPR & UK GDPR)

• Truy cập, chỉnh sửa hoặc xóa dữ liệu cá nhân của bạn
• Hạn chế hoặc phản đối việc xử lý
• Rút lại sự đồng ý đối với phân tích, quảng cáo hoặc tiếp thị bất cứ lúc nào
• Khả năng di chuyển dữ liệu — nhận dữ liệu của bạn ở định dạng có cấu trúc, có thể đọc bằng máy
• Phản đối việc ra quyết định tự động, bao gồm lập hồ sơ và yêu cầu xem xét lại của con người
• Khiếu nại với cơ quan bảo vệ dữ liệu quốc gia của bạn hoặc Văn phòng Ủy viên Thông tin UK (ICO)

Cư dân Hoa Kỳ

Nếu bạn là cư dân Hoa Kỳ sống ở tiểu bang có luật bảo mật toàn diện, bạn có các quyền được liệt kê dưới đây trong phạm vi luật tiểu bang của bạn quy định. Chúng tôi tôn trọng những quyền này cho tất cả cư dân Hoa Kỳ bất kể luật tiểu bang nào áp dụng.

• Quyền biết thông tin cá nhân nào chúng tôi thu thập, các nguồn, mục đích và người nhận
• Quyền truy cập bản sao thông tin cá nhân của bạn
• Quyền chỉnh sửa thông tin cá nhân không chính xác
• Quyền xóa thông tin cá nhân của bạn (tùy thuộc vào các ngoại lệ pháp lý)
• Quyền di chuyển dữ liệu — nhận thông tin cá nhân của bạn ở định dạng có cấu trúc, có thể đọc bằng máy
• Quyền từ chối “bán” hoặc “chia sẻ” thông tin cá nhân — chúng tôi không bán hoặc chia sẻ thông tin cá nhân
• Quyền từ chối quảng cáo có mục tiêu — chúng tôi không tham gia quảng cáo có mục tiêu
• Quyền từ chối lập hồ sơ tạo ra các hiệu ứng pháp lý hoặc tương tự đáng kể
• Quyền hạn chế sử dụng và tiết lộ thông tin cá nhân nhạy cảm
• Quyền kháng cáo khi bị từ chối bất kỳ quyền nào trong số này
• Quyền không bị phân biệt đối xử khi thực hiện quyền của bạn

Tín hiệu từ chối toàn cầu (GPC). Chúng tôi không “bán” hoặc “chia sẻ” thông tin cá nhân và không tham gia quảng cáo có mục tiêu theo định nghĩa của luật bảo mật tiểu bang Hoa Kỳ. Nếu trình duyệt của bạn truyền tín hiệu Kiểm soát Quyền riêng tư Toàn cầu (GPC), chúng tôi tự động tôn trọng nó như xác nhận tùy chọn từ chối của bạn. Không cần hành động thêm.

Đặc điểm riêng của California (CCPA / CPRA). Cư dân California còn có quyền yêu cầu các phần thông tin cá nhân cụ thể mà chúng tôi đã thu thập, các loại nguồn, mục đích kinh doanh và thương mại để thu thập, và các loại bên thứ ba mà thông tin đó đã được tiết lộ.

Bạn có thể thực hiện các quyền này qua Quản lý Cookie ở footer hoặc bằng cách gửi email cho chúng tôi. Bạn cũng có thể chỉ định đại lý được ủy quyền để hành động thay mặt bạn khi pháp luật yêu cầu.

Canada (PIPEDA)

• Truy cập thông tin cá nhân của bạn mà chúng tôi nắm giữ
• Yêu cầu chỉnh sửa thông tin không chính xác
• Rút lại sự đồng ý (tùy thuộc vào các hạn chế pháp lý hoặc hợp đồng)
• Khiếu nại với Văn phòng Ủy viên Bảo mật Canada

Úc (Luật Bảo mật)

• Truy cập thông tin cá nhân của bạn
• Yêu cầu chỉnh sửa dữ liệu không chính xác, lỗi thời hoặc không đầy đủ
• Khiếu nại với Văn phòng Ủy viên Thông tin Úc (OAIC)

Nhật Bản (APPI)

• Yêu cầu tiết lộ thông tin cá nhân của bạn
• Yêu cầu chỉnh sửa, bổ sung hoặc xóa
• Yêu cầu ngừng sử dụng hoặc cung cấp cho bên thứ ba
• Chúng tôi thông báo cho bạn về việc chuyển dữ liệu xuyên biên giới sang các quốc gia có thể không có tiêu chuẩn bảo vệ dữ liệu tương đương

Trung Quốc (PIPL)

• Quyền biết và quyết định về việc xử lý thông tin cá nhân của bạn
• Quyền hạn chế hoặc từ chối xử lý (trừ khi pháp luật yêu cầu)
• Quyền truy cập, sao chép, chỉnh sửa và xóa thông tin cá nhân của bạn
• Việc chuyển dữ liệu xuyên biên giới được thực hiện theo luật Trung Quốc hiện hành

Brazil (LGPD)

• Xác nhận sự tồn tại của việc xử lý
• Truy cập, chỉnh sửa, ẩn danh, chặn hoặc xóa dữ liệu không cần thiết
• Khả năng di chuyển dữ liệu
• Thu hồi sự đồng ý bất cứ lúc nào
• Khiếu nại với ANPD (Autoridade Nacional de Proteção de Dados)

Tất cả các khu vực khác

Bất kể bạn ở đâu, bạn có thể liên hệ với chúng tôi bất cứ lúc nào để yêu cầu truy cập, chỉnh sửa hoặc xóa dữ liệu cá nhân của bạn. Chúng tôi sẽ phản hồi theo luật hiện hành.

Để thực hiện bất kỳ quyền nào của bạn, liên hệ với chúng tôi tại contact@ibipoint.com. Chúng tôi cố gắng phản hồi trong vòng 30 ngày (hoặc sớm hơn khi pháp luật yêu cầu).

Nhà cung cấp dịch vụ & Chuyển dữ liệu

Chúng tôi làm việc với các nhà cung cấp dịch vụ bên thứ ba sau đây, những người có thể xử lý dữ liệu thay mặt chúng tôi hoặc với tư cách là người kiểm soát độc lập:

Nhà cung cấp	Mục đích	Dữ liệu được xử lý	Vị trí
Stripe	Xử lý thanh toán	Dữ liệu thanh toán, chi tiết giao dịch	Hoa Kỳ / EU
Cloudflare	CDN, bảo mật, Turnstile	Địa chỉ IP, mã quốc gia, token bảo mật	Toàn cầu
Google (GA4)	Phân tích (yêu cầu đồng ý)	Dữ liệu sử dụng giả danh	Hoa Kỳ / EU
Google (Ads)	Đo lường hiệu suất quảng cáo (yêu cầu đồng ý)	Mã nhận dạng quảng cáo giả danh	Hoa Kỳ / EU

Các nhà cung cấp này có thể xử lý dữ liệu bên ngoài quốc gia cư trú của bạn. Chúng tôi dựa vào các biện pháp bảo vệ theo hợp đồng, bao gồm các điều khoản xử lý dữ liệu được tích hợp trong các thỏa thuận nhà cung cấp dịch vụ và khi áp dụng, các điều khoản hợp đồng tiêu chuẩn (SCC) hoặc cơ chế chuyển dữ liệu tương đương được các cơ quan liên quan công nhận.

Tất cả lưu lượng giữa trình duyệt của bạn và máy chủ của chúng tôi được mã hóa qua HTTPS.

Quyền riêng tư của trẻ em

Dịch vụ của chúng tôi không hướng đến trẻ em dưới 16 tuổi (hoặc dưới độ tuổi tối thiểu áp dụng trong quyền hạn của bạn). Chúng tôi không cố tình thu thập dữ liệu cá nhân từ trẻ em. Nếu bạn cho rằng một đứa trẻ đã cung cấp dữ liệu cá nhân cho chúng tôi, hãy liên hệ với chúng tôi và chúng tôi sẽ xóa ngay.

Chính sách Chống Rửa tiền (AML)

IbiPoint Ltd hoàn toàn hỗ trợ việc ngăn chặn rửa tiền và các hoạt động bất hợp pháp. Tất cả các thanh toán được xử lý bởi Stripe, một nhà cung cấp thanh toán được quản lý thực hiện xác minh danh tính và kiểm tra giao dịch. Sản phẩm của chúng tôi là eSIM kỹ thuật số trả trước không thể đổi lấy tiền mặt, vì vậy rủi ro về mặt thiết kế là tối thiểu.

Chúng tôi hợp tác với các cơ quan chức năng và tuân thủ các tiêu chuẩn AML và KYC quốc tế. Nếu cần xác minh thêm, chúng tôi sẽ liên hệ trực tiếp với bạn và xử lý dữ liệu của bạn một cách bảo mật.

Để biết chi tiết đầy đủ, bạn có thể tải xuống tài liệu Chính sách AML đã ký của chúng tôi tại đây:
📄 Chính sách AML của IbiPoint (PDF)

Thay đổi đối với Chính sách này

Chúng tôi có thể cập nhật Chính sách Bảo mật này theo thời gian để phản ánh các thay đổi trong thực tiễn, công nghệ hoặc yêu cầu pháp lý của chúng tôi. Nếu chúng tôi thực hiện các thay đổi đáng kể, chúng tôi sẽ thông báo rõ ràng trên trang web của chúng tôi. Chúng tôi khuyến khích bạn xem xét trang này định kỳ.

Dấu ấn / Thông báo pháp lý

IbiPoint Ltd
128 City Road, London EC1V 2NX, Vương quốc Anh
Email: contact@ibipoint.com

Các trang web:
ibipoint.com · ibipoint.es · worldwideesim.com · worldwide-esim.com · worldwide-sim.com · easy-esim.com · esim-global.vip · hel-kom.de · green-esim.de · green-esim.com · esim.green · esim.reise

Đăng ký công ty: 16730748
UTR: 1675904775
VAT:
Chịu trách nhiệm về nội dung (theo §18 Abs. 2 MStV, Đức): IbiPoint Ltd, 128 City Road, London EC1V 2NX