← Đăng nhập
CTS

Chính sách Bảo mật & Quyền riêng tư

Cập nhật lần cuối: 21/03/2026

1. Giới thiệu

CTS (Candidate Tracking System) là nền tảng quản lý tuyển dụng dành cho các nhà tuyển dụng và doanh nghiệp tại Việt Nam.

Trang này giải thích cách chúng tôi thu thập, sử dụng, lưu trữ và bảo vệ dữ liệu của bạn khi sử dụng CTS. Chính sách này áp dụng cho tất cả người dùng, bao gồm các gói Starter, Plus và Pro.

Khi sử dụng CTS, bạn đồng ý với các điều khoản được mô tả trong trang này.

2. Dữ liệu chúng tôi thu thập

Thông tin tài khoản

  • Họ tên, địa chỉ email
  • Mật khẩu (được mã hoá, không bao giờ lưu dạng gốc)
  • Phương thức đăng nhập (email hoặc Google)

Dữ liệu ứng viên

  • Tên, email, số điện thoại
  • File CV (PDF, DOCX hoặc ảnh)
  • Kỹ năng, kinh nghiệm, học vấn
  • Ghi chú và đánh giá phỏng vấn

Dữ liệu công việc

  • Tiêu đề, mô tả, yêu cầu tuyển dụng, mức lương

Dữ liệu đánh giá

  • Kết quả đánh giá AI (điểm số, nhận xét)
  • Ghi chú phỏng vấn và xếp hạng từ nhà tuyển dụng

Dữ liệu sử dụng

  • Thời gian đăng nhập, số lượt sử dụng tính năng AI (phục vụ quản lý quota)

Dữ liệu thanh toán

  • Mã giao dịch, loại gói, số tiền, trạng thái thanh toán, thời gian
  • Chúng tôi không lưu trữ thông tin tài khoản ngân hàng hoặc số thẻ

3. Mục đích sử dụng dữ liệu

  • Cung cấp các tính năng quản lý tuyển dụng (quản lý ứng viên, công việc, đánh giá)
  • Phân tích CV và JD bằng AI để tự động điền thông tin
  • Đánh giá mức độ phù hợp giữa ứng viên và công việc bằng AI
  • Gửi email liên quan đến tài khoản (xác minh, đặt lại mật khẩu, thông báo gói dịch vụ)
  • Theo dõi mức sử dụng và áp dụng giới hạn theo gói dịch vụ

Chúng tôi không sử dụng dữ liệu tuyển dụng của bạn cho mục đích quảng cáo và không bán dữ liệu cho bên thứ ba.

4. Lưu trữ và bảo vệ dữ liệu

  • Toàn bộ dữ liệu được lưu trữ trên hạ tầng Amazon Web Services (AWS)
  • Dữ liệu có cấu trúc (tài khoản, ứng viên, công việc, đánh giá) lưu trong Amazon DynamoDB
  • File CV được lưu trong Amazon S3 với mã hoá phía server (SSE-S3)
  • Dữ liệu được mã hoá khi lưu trữ (at rest) và khi truyền tải (in transit qua HTTPS/TLS)
  • Mật khẩu được hash bằng bcrypt — chúng tôi không bao giờ lưu mật khẩu dạng gốc

5. Xử lý dữ liệu bằng AI

CTS sử dụng AI (Claude của Anthropic, thông qua Amazon Bedrock) cho 3 chức năng:

  • Phân tích CV — Trích xuất thông tin ứng viên từ file CV
  • Phân tích JD — Đọc mô tả tuyển dụng để tạo thông tin công việc
  • Đánh giá ứng viên — So sánh ứng viên với yêu cầu công việc

Các cam kết về xử lý AI:

  • AI không lưu giữ dữ liệu của bạn sau khi xử lý xong
  • Amazon Bedrock không sử dụng dữ liệu khách hàng để huấn luyện mô hình
  • AWS Textract được dùng để trích xuất text từ CV dạng ảnh trước khi gửi đến AI
  • Kết quả phân tích AI được lưu cùng hồ sơ ứng viên/công việc trong tài khoản của bạn

6. Chia sẻ dữ liệu với bên thứ ba

CTS chỉ chia sẻ dữ liệu với các dịch vụ sau, phục vụ mục đích vận hành:

  • Amazon Web Services (AWS) — Hosting, lưu trữ (S3, DynamoDB), email (SES), xử lý AI (Bedrock, Textract)
  • Google OAuth — Nếu bạn chọn đăng nhập bằng Google, chúng tôi nhận họ tên và email từ Google
  • PayOS — Xử lý thanh toán gói dịch vụ. PayOS nhận thông tin giao dịch (số tiền, mã đơn) nhưng không nhận dữ liệu tuyển dụng của bạn

Chúng tôi không bán, cho thuê, hoặc chia sẻ dữ liệu tuyển dụng của bạn với bất kỳ bên nào khác.

7. Thanh toán

  • Thanh toán qua PayOS sử dụng VietQR, hỗ trợ 50+ ngân hàng tại Việt Nam
  • CTS lưu trữ: mã giao dịch, loại gói, số tiền, trạng thái, thời gian thanh toán
  • CTS không lưu trữ thông tin tài khoản ngân hàng hoặc số thẻ của bạn
  • PayOS chịu trách nhiệm bảo mật thanh toán — vui lòng tham khảo chính sách bảo mật của PayOS

Chính sách hoàn tiền: Gói dịch vụ không được hoàn tiền sau khi kích hoạt.

8. Biện pháp bảo mật

  • Mã hoá: Toàn bộ lưu lượng truy cập qua HTTPS/TLS. Dữ liệu mã hoá khi lưu trữ (DynamoDB, S3)
  • Xác thực: Session token bảo mật với HttpOnly cookie và SameSite=Lax. Hỗ trợ Google OAuth 2.0
  • Mật khẩu: Hash bằng bcrypt. Yêu cầu tối thiểu 8 ký tự bao gồm chữ hoa, chữ thường, số và ký tự đặc biệt
  • Chống CSRF: Token bảo vệ trên tất cả form thay đổi dữ liệu
  • Giới hạn truy cập: Rate limit theo IP (60 request/phút, 300/giờ). Khoá đăng nhập 15 phút sau 5 lần nhập sai. Giới hạn đăng ký theo IP
  • Chống bot: Honeypot trên form đăng ký
  • Xác minh email: Bắt buộc xác minh email trước khi kích hoạt tài khoản
  • Bảo mật phiên: Phiên đăng nhập hết hạn sau 24 giờ. Session cũ tự động vô hiệu hoá khi đổi mật khẩu

9. Quyền của bạn

  • Xem dữ liệu: Bạn có thể xem toàn bộ dữ liệu ứng viên, công việc và đánh giá qua giao diện CTS bất kỳ lúc nào
  • Xuất dữ liệu: Xuất danh sách ứng viên dưới dạng CSV
  • Đổi mật khẩu: Thay đổi mật khẩu bất kỳ lúc nào qua trang Cài đặt tài khoản
  • Xoá tài khoản: Xoá vĩnh viễn toàn bộ dữ liệu (ứng viên, công việc, CV, đánh giá, ghi chú, lịch sử chỉnh sửa) qua trang Cài đặt tài khoản. Hành động này không thể hoàn tác

Nếu bạn cần yêu cầu dữ liệu ở định dạng khác, vui lòng liên hệ qua email hỗ trợ bên dưới.

10. Cookie và phiên đăng nhập

CTS chỉ sử dụng cookie thiết yếu cho hoạt động của hệ thống:

  • Cookie phiên (cts_session): Xác định phiên đăng nhập. HttpOnly, SameSite=Lax, hết hạn sau 24 giờ
  • Cookie CSRF (csrf_token): Bảo vệ chống tấn công CSRF. SameSite=Strict, hết hạn sau 1 giờ
  • Cookie OAuth: Tạm thời trong quá trình đăng nhập Google, hết hạn sau 10 phút

CTS không sử dụng cookie theo dõi, cookie phân tích (analytics) hoặc cookie quảng cáo. Không có tracker bên thứ ba nào được nhúng trong ứng dụng.

11. Thay đổi chính sách

Chúng tôi có thể cập nhật chính sách này theo thời gian. Ngày "Cập nhật lần cuối" ở đầu trang sẽ phản ánh thay đổi gần nhất.

Đối với những thay đổi quan trọng, chúng tôi sẽ thông báo cho bạn qua email. Việc tiếp tục sử dụng CTS sau khi chính sách được cập nhật đồng nghĩa với việc bạn chấp nhận các thay đổi.

12. Liên hệ

Nếu bạn có câu hỏi về bảo mật, quyền riêng tư hoặc cách xử lý dữ liệu, vui lòng liên hệ:

Email: leminhtrinhnguyen@gmail.com

Chúng tôi sẽ phản hồi trong vòng 48 giờ làm việc.