An toàn dữ liệu · Niềm tin doanh nghiệp

Dữ liệu của bạn — bạn quyết định nó đi đâu.

Addy không bán "AI bảo mật tuyệt đối" — không có chuyện đó. Addy cho bạn 2 lựa chọn rõ ràng: LLM API quốc tế (chất lượng cao nhất) hoặc LLM tự vận hành tại Việt Nam (dữ liệu không rời lãnh thổ). Trang này nói thẳng dữ liệu của bạn đi đâu, ai chạm được, và tuân thủ Nghị định 13/2023 PDPD ra sao.

Dữ liệu lưu trữ tại Việt Nam

Không dùng dữ liệu của bạn để huấn luyện AI

Tuân thủ Nghị định 13/2023 PDPD

Doanh nghiệp kiểm soát dữ liệu 24/7

01 · Vị trí lưu trữ

Dữ liệu của bạn lưu ở đâu?

Cơ sở dữ liệu + media: Việt Nam

Cơ sở dữ liệu (PostgreSQL) và file upload (hình ảnh, PDF, hồ sơ) được lưu trên hạ tầng đám mây tại các trung tâm dữ liệu Tier 3/4 ở Việt Nam (Hà Nội + TP.HCM), đạt chứng chỉ ISO 27001 / ISO 27017 / ISO 27018 từ nhà cung cấp.

Mã hóa AES-256 khi lưu trữ (at rest)
TLS 1.3 khi truyền tải (in transit)
Sao lưu hàng ngày, retention 30 ngày
Geo-redundant: bản sao Hà Nội + TP.HCM

Xử lý AI: tùy phương án bạn chọn

Khi AI Agent xử lý một tin nhắn / câu hỏi, dữ liệu sẽ đi qua một model LLM. Vị trí của mô hình là điểm khác biệt giữa 2 phương án.

Phương án A — LLM API quốc tế

OpenAI (Hoa Kỳ), Anthropic (Hoa Kỳ), Alibaba Cloud (Singapore). Có ký DPA đảm bảo không dùng dữ liệu khách hàng để huấn luyện.

Phương án B — LLM tự vận hành tại Việt Nam

Qwen 2.5 và Gemma 4 chạy trên GPU server tại Việt Nam. Dữ liệu không rời lãnh thổ Việt Nam.

02 · Lựa chọn xử lý AI

API quốc tế hay LLM nội địa — doanh nghiệp quyết định.

Không phương án nào mặc định tốt hơn. Chỉ có phương án phù hợp hơn với loại dữ liệu, chất lượng cần thiết và ngân sách. Audit của Addy giúp doanh nghiệp chọn đúng.

Khía cạnh

Phương án A — LLM API quốc tế

Phương án B — LLM tại Việt Nam

Chất lượng AI

Cao nhất trong nhóm LLM thương mại quốc tế

Cao, phù hợp phần lớn tác vụ SME như hỏi đáp, phân loại, tóm tắt

Vị trí xử lý

OpenAI (Hoa Kỳ), Anthropic (Hoa Kỳ), Alibaba Cloud (Singapore)

Máy chủ tại Việt Nam, dữ liệu không rời lãnh thổ

Độ trễ

Phụ thuộc kết nối quốc tế và nhà cung cấp

Thường thấp hơn nhờ xử lý nội địa

Chi phí / 1k tương tác

~5–15k VND (gói trả theo token)

~2–5k VND (gồm chi phí GPU tự vận hành)

Tuân thủ chuyển biên giới (Đ.25 PDPD)

Có DPA với nhà cung cấp và đánh giá tác động chuyển DLCN

Không cần chuyển biên giới vì dữ liệu không ra khỏi Việt Nam

Phù hợp khi

Shop online, agency, bán hàng — cần chất lượng và tốc độ

Y tế, nhân sự, hồ sơ B2B nhạy cảm, khách yêu cầu chủ quyền dữ liệu

Lưu ý: Một doanh nghiệp có thể dùng cả 2 phương án song song — ví dụ tác vụ thường dùng AI mã nguồn mở (miễn phí, dữ liệu giữ nội bộ), còn nội dung quan trọng thì bật Claude để tối ưu chất lượng nhạy cảm). Addy cấu hình theo từng module trong audit.

03 · Sub-processor

Ai chạm được dữ liệu của bạn?

Addy công khai danh sách nhà thầu phụ (sub-processor) — bên thứ ba có thể tiếp xúc với dữ liệu của bạn trong quá trình vận hành. Bạn có quyền phản đối khi Addy thêm nhà thầu phụ mới.

Tên

Vai trò

Vị trí

Nhóm

Opt-out

OpenAI

Suy luận LLM qua API doanh nghiệp

Hoa Kỳ

Anthropic

Suy luận LLM qua API doanh nghiệp

Hoa Kỳ

Alibaba Cloud (Singapore)

Suy luận LLM qua API doanh nghiệp

Singapore

Nhà cung cấp đám mây Việt Nam

Hạ tầng IaaS (VPS, lưu trữ, GPU cho lựa chọn tự vận hành)

Việt Nam (Hà Nội + TP.HCM)

A + B

—

Plausible Analytics

Đo lường website không cookie, không theo dõi cá nhân

Tự vận hành tại Việt Nam

A + B

—

Gmail / SMTP

Gửi email giao dịch (đăng ký, thông báo)

Hoa Kỳ

A + B

—

Opt-out = có thể loại trừ khỏi cấu hình của bạn (vd: yêu cầu cấu hình chỉ dùng LLM nội địa sẽ loại các nhà cung cấp LLM quốc tế khỏi luồng dữ liệu).

04 · Quyền của bạn

6 quyền của bạn theo Nghị định 13/2023 PDPD

Cả bạn và Chủ thể dữ liệu mà bạn xử lý (vd: khách hàng cuối, nhân viên) đều có những quyền sau. Addy hỗ trợ bạn thực hiện các quyền này.

Quyền được biết

Bạn có quyền biết Addy thu thập dữ liệu nào, mục đích sử dụng và thời gian lưu trữ.

Đ.9.1 NĐ 13/2023

Quyền truy cập + xuất

Yêu cầu xem hoặc xuất toàn bộ dữ liệu của doanh nghiệp dưới định dạng JSON/CSV.

Đ.9.2, Đ.10.1 NĐ 13/2023

Quyền chỉnh sửa, cập nhật

Yêu cầu chỉnh sửa hoặc cập nhật dữ liệu sai/lỗi thời. Addy xử lý trong ≤72 giờ.

Đ.9.3 NĐ 13/2023

Quyền xóa

Yêu cầu xóa dữ liệu bất kỳ lúc nào. Sau khi hợp đồng kết thúc, Addy xóa toàn bộ trong 30 ngày.

Đ.9.4, Đ.17 NĐ 13/2023

Quyền hạn chế xử lý

Yêu cầu Addy dừng xử lý dữ liệu trong một số trường hợp, ví dụ khi đang khiếu nại tính chính xác.

Đ.9.5 NĐ 13/2023

Quyền khiếu nại

Khiếu nại tới Addy hoặc Bộ Công an (Cục A05) nếu phát hiện vi phạm.

Đ.9.7 NĐ 13/2023

Cách thực hiện: Email privacy@addy.vn với chủ đề rõ ràng. Addy phản hồi trong vòng 72 giờ theo Đ.16 NĐ 13/2023.

05 · Sự cố vi phạm

Nếu có vi phạm dữ liệu — chuyện gì xảy ra?

Phát hiện

Hệ thống giám sát của Addy phát hiện hoạt động bất thường (truy cập trái phép, rò rỉ dữ liệu, tấn công).

Thông báo trong 72 giờ

Addy gửi email tới đầu mối DLCN của bạn theo Đ.31 NĐ 13/2023. Nội dung: tính chất vi phạm, số chủ thể bị ảnh hưởng, biện pháp khắc phục.

Báo cáo cơ quan nhà nước

Bạn (với vai trò Bên Kiểm soát Dữ liệu) báo cáo Cục An ninh mạng và phòng, chống tội phạm công nghệ cao (A05 - Bộ Công an) nếu vi phạm thuộc diện phải báo cáo. Addy hỗ trợ tài liệu cần thiết.

Cam kết minh bạch về sự cố dữ liệu. Nếu có vi phạm dữ liệu cá nhân, chúng tôi thông báo cho bạn theo đúng quy định (Nghị định 13/2023) — bạn sẽ được biết trước cơ quan báo chí.

Thỏa thuận xử lý DLCN

Cần ký DPA riêng cho doanh nghiệp bạn?

Khách hàng Chuyên nghiệp và Enterprise thường ký DPA riêng — đặc biệt khi xử lý dữ liệu nhạy cảm (y tế, tài chính, hồ sơ B2B). Addy có sẵn mẫu DPA tham khảo phù hợp với Nghị định 13/2023 PDPD, được cập nhật theo Luật BVDLCN mới.

DPA mẫu cover: phạm vi xử lý, sub-processor, chuyển biên giới, quyền chủ thể, thông báo vi phạm, audit, xóa dữ liệu, trách nhiệm pháp lý. Khoảng 5 trang. Đề nghị review với luật sư trước khi ký.

Yêu cầu DPA mẫu Trao đổi về bảo mật dữ liệu

06 · Khung tuân thủ

Tuân thủ pháp luật Việt Nam và quốc tế

Nghị định 13/2023/NĐ-CP

Nghị định về bảo vệ DLCN — bộ luật chính áp dụng cho mọi doanh nghiệp tại VN từ 01/07/2023. Addy tuân thủ toàn bộ điều khoản.

Luật Bảo vệ DLCN

Có hiệu lực 01/01/2026 — mở rộng quy mô bảo vệ DLCN so với Nghị định 13/2023. Addy đã rà soát quy trình để tuân thủ.

Luật An ninh mạng 2018

Bao gồm Nghị định 53/2022 hướng dẫn lưu trữ dữ liệu tại Việt Nam. Addy lưu trữ dữ liệu trong VN cho các dịch vụ thuộc diện áp dụng.

Luật An toàn thông tin mạng 2015

Khung pháp lý về bảo vệ thông tin mạng. Addy áp dụng tiêu chuẩn kỹ thuật phù hợp với phân loại hệ thống.

GDPR (EU)

Tham khảo cho khách hàng B2B có chi nhánh EU hoặc xử lý DLCN của công dân EU. Addy có thể hỗ trợ Standard Contractual Clauses (SCC).

ISO 27001 / 27017 / 27018

Hạ tầng đám mây của Addy đặt tại trung tâm dữ liệu có chứng chỉ ISO 27001 / 27017 (cloud security) / 27018 (cloud privacy). Riêng Addy đang trong quá trình hoàn thiện ISO 27001 cấp công ty.

Câu hỏi thường gặp

Khi nào nên chọn LLM tự vận hành tại Việt Nam?▾

Khi dữ liệu thuộc nhóm nhạy cảm theo Đ.2.4 NĐ 13/2023: hồ sơ y tế, bảng lương, hợp đồng lao động, dữ liệu tài chính cá nhân, hoặc khách hàng B2B yêu cầu rõ về chủ quyền dữ liệu. Lựa chọn này cũng phù hợp khi khối lượng sử dụng lớn và cần kiểm soát chi phí dài hạn.

LLM tự vận hành có kém hơn LLM quốc tế không?▾

Không nhất thiết kém hơn, mà phù hợp với nhóm tác vụ khác. LLM tự vận hành thường đủ tốt cho hỏi đáp, soạn email, phân loại lead và tổng hợp báo cáo. LLM quốc tế phù hợp hơn khi cần suy luận phức tạp, phân tích tài liệu dài hoặc tạo nội dung chiến lược. Trong audit, Addy kiểm thử trên dữ liệu thực tế để chọn phương án phù hợp.

Nhà cung cấp LLM có dùng dữ liệu của tôi để huấn luyện không?▾

Addy chỉ dùng API doanh nghiệp có chính sách không dùng dữ liệu khách hàng API để huấn luyện mô hình. Với các trường hợp cần cam kết cao hơn, Addy ký DPA và cung cấp danh sách nhà xử lý phụ để doanh nghiệp rà soát trước khi ký.

Nếu nhà cung cấp LLM bị tấn công, dữ liệu của tôi có lộ không?▾

Rủi ro lý thuyết luôn tồn tại, nên Addy giảm thiểu bằng cách chỉ gửi dữ liệu cần thiết cho từng yêu cầu, không tải toàn bộ cơ sở dữ liệu lên LLM và có quy trình thông báo sự cố theo NĐ 13/2023. Nếu doanh nghiệp không chấp nhận chuyển dữ liệu ra ngoài Việt Nam, Addy khuyến nghị lựa chọn LLM tự vận hành nội địa.

Addy có ISO 27001 / SOC 2 không?▾

Addy đang hoàn thiện hồ sơ kiểm soát bảo mật cấp công ty. Hạ tầng Việt Nam mà Addy sử dụng có các chứng chỉ bảo mật từ nhà cung cấp. Với khách hàng yêu cầu cao, Addy cung cấp tài liệu bảo mật, DPA và phạm vi kiểm tra chi tiết trước khi ký.

Tôi có thể tự xóa toàn bộ dữ liệu không?▾

Có. Email yêu cầu xóa tới privacy@addy.vn — Addy phản hồi trong 72 giờ và bắt đầu quy trình xóa. Ngoài ra, trong trang quản trị, doanh nghiệp có thể xóa từng bản ghi cụ thể bất kỳ lúc nào nếu gói đang dùng có hỗ trợ.

Có cần ký DPA riêng không?▾

Khách hàng Cá nhân và Pro — không bắt buộc, áp dụng theo Điều khoản dịch vụ chung và Chính sách bảo mật. Khách hàng Chuyên nghiệp và Enterprise thường ký DPA riêng (đặc biệt khi xử lý DLCN nhạy cảm). Mẫu DPA của Addy có sẵn — yêu cầu qua privacy@addy.vn để nhận bản tham khảo trước khi ký.

Nếu cơ quan nhà nước Việt Nam yêu cầu Addy cung cấp dữ liệu thì sao?▾

Theo pháp luật Việt Nam, Addy phải tuân thủ yêu cầu hợp pháp bằng văn bản từ cơ quan nhà nước có thẩm quyền. Trong những trường hợp đó, Addy xác minh tính hợp pháp của yêu cầu, thông báo cho khách hàng trừ khi bị cấm bởi pháp luật, và chỉ cung cấp phạm vi dữ liệu tối thiểu theo yêu cầu.

Dùng thử Addy Growth — dữ liệu của bạn được bảo vệ ngay từ đầu

Đăng ký dùng thử miễn phí 14 ngày. Cần trao đổi kỹ về cấu hình dữ liệu — API quốc tế, LLM nội địa hay kết hợp? Addy giúp bạn chọn cấu hình phù hợp với mức nhạy cảm dữ liệu của doanh nghiệp.

Đăng ký dùng thử Trao đổi về dữ liệu