Chính sách bảo mật
Cách PhishDestroy thu thập, sử dụng và bảo vệ thông tin của bạn. Dữ liệu tối thiểu, tính minh bạch tối đa.
PhishDestroy là một dự án độc lập, phi thương mại. Chúng tôi chỉ thu thập lượng dữ liệu tối thiểu cần thiết để thực hiện sứ mệnh chống lừa đảo qua email. Chúng tôi không bán, cho thuê hay trao đổi thông tin cá nhân.
Thông tin chúng tôi thu thập
Chúng tôi thu thập và xử lý lượng dữ liệu cá nhân tối thiểu, chỉ giới hạn ở những thông tin thực sự cần thiết:
- Gửi báo cáo về các mối đe dọa: Tên miền, URL, địa chỉ ví và bất kỳ bằng chứng nào mà bạn tự nguyện cung cấp khi báo cáo một trang web lừa đảo qua bot Telegram của chúng tôi hoặc các kênh khác. Chúng tôi không yêu cầu thông tin cá nhân để gửi báo cáo.
- Thông số kỹ thuật: Địa chỉ IP, chuỗi user agent và dấu thời gian truy cập được các máy chủ của chúng tôi thu thập tự động nhằm đảm bảo an ninh, ngăn chặn hành vi lạm dụng và duy trì sự ổn định của dịch vụ. Địa chỉ IP chỉ được xử lý với mục đích an ninh (ngăn chặn các cuộc tấn công DDoS và phòng ngừa hành vi lạm dụng) và không được sử dụng để xác định danh tính người dùng cá nhân hay xây dựng hồ sơ cá nhân.
- Dữ liệu phân tích: Thống kê sử dụng thông qua Google Analytics và Microsoft Clarity (được tích hợp qua Google Tag Manager), cùng với Ahrefs Web Analytics. Clarity ghi lại các tương tác trong phiên truy cập đã được ẩn danh — bao gồm các lần nhấp chuột, cuộn trang và bản đồ nhiệt tổng hợp — để giúp chúng tôi hiểu cách thức sử dụng các dịch vụ của mình và cải thiện chúng. Các công cụ này không tạo hồ sơ quảng cáo.
- Dữ liệu liên lạc: Địa chỉ email hoặc tên người dùng Telegram khi bạn liên hệ trực tiếp với chúng tôi để được hỗ trợ, khiếu nại hoặc hỏi thông tin.
Chúng tôi làm không thu thập dữ liệu tài chính, giấy tờ tùy thân, mật khẩu hoặc bất kỳ loại dữ liệu cá nhân đặc biệt nào.
Cách chúng tôi sử dụng thông tin
Thông tin mà chúng tôi thu thập chỉ được sử dụng cho mục đích chống lừa đảo qua email:
- Để phân tích và xác minh các tên miền lừa đảo, cơ sở hạ tầng lừa đảo và nội dung độc hại đã được báo cáo.
- Để báo cáo các tên miền độc hại đã được xác minh cho các nhà đăng ký tên miền, nhà cung cấp dịch vụ lưu trữ và các đối tác bảo mật (nhà cung cấp phần mềm diệt virus, đơn vị vận hành danh sách chặn, các trung tâm ứng phó sự cố máy tính - CERT).
- Để công bố thông tin tình báo về mối đe dọa đã được ẩn danh trên các nguồn cấp dữ liệu công khai, API và các kênh cộng đồng của chúng tôi.
- Để duy trì và cải thiện các dịch vụ, công cụ và hệ thống phát hiện của chúng tôi.
- Để giải đáp các thắc mắc, khiếu nại hoặc yêu cầu hỗ trợ của quý vị.
Chia sẻ và công bố thông tin
Chúng tôi chỉ chia sẻ thông tin trong các trường hợp sau đây:
- Cùng với các đối tác an ninh: Chúng tôi chia sẻ dữ liệu về các mối đe dọa (tên miền, URL, các chỉ số kỹ thuật) với các đơn vị đăng ký tên miền, nhà cung cấp dịch vụ lưu trữ, nhà cung cấp phần mềm chống vi-rút và các trung tâm ứng phó sự cố máy tính (CERT) nhằm tạo điều kiện thuận lợi cho việc gỡ bỏ các nội dung vi phạm. Dữ liệu này không bao gồm thông tin nhận dạng của người báo cáo.
- Thông tin tình báo về các mối đe dọa công khai: Các tên miền lừa đảo đã được xác nhận cùng các chỉ số kỹ thuật liên quan được công bố trong danh sách chặn, nguồn cấp dữ liệu API và các kênh công khai của chúng tôi. Danh tính của người báo cáo tuyệt đối không được tiết lộ.
- Nghĩa vụ pháp lý: Chúng tôi có thể tiết lộ thông tin nếu được yêu cầu theo quy định của pháp luật, theo lệnh của tòa án hoặc để tuân thủ yêu cầu pháp lý hợp lệ từ các cơ quan chức năng.
Dịch vụ của bên thứ ba
Chúng tôi sử dụng các dịch vụ sau đây cho cơ sở hạ tầng và hiệu suất:
- Cloudflare: CDN, bảo vệ chống DDoS và các dịch vụ DNS. Cloudflare xử lý dữ liệu meta về kết nối (địa chỉ IP, tiêu đề yêu cầu) vì mục đích bảo mật. Chính sách bảo mật của Cloudflare.
- Namecheap: Đăng ký tên miền. Chính sách bảo mật của Namecheap.
- Google Analytics (thông qua GTM): Phân tích dữ liệu trang web đã được ẩn danh. Chúng tôi đã kích hoạt tính năng ẩn danh địa chỉ IP, đảm bảo địa chỉ IP của bạn sẽ được cắt ngắn trong khu vực EEA trước khi được truyền tới Google. Chính sách bảo mật của Google.
- Microsoft Clarity (qua GTM): Phân tích sản phẩm ẩn danh — phát lại phiên làm việc, bản đồ nhiệt nhấp chuột và cuộn trang — được sử dụng để cải thiện trải nghiệm người dùng. Clarity che đi văn bản và các trường nhập liệu trong biểu mẫu theo mặc định, và chúng tôi không sử dụng nó để xác định danh tính cá nhân. Tuyên bố về quyền riêng tư của Microsoft.
- API Bot Telegram: Để gửi báo cáo về các mối đe dọa. Chúng tôi chỉ xử lý dữ liệu mà bạn cung cấp; chúng tôi không truy cập vào số điện thoại của bạn. Chính sách bảo mật của Telegram.
- Ahrefs: Phân tích SEO và theo dõi hiệu suất trang web. Chính sách bảo mật của Ahrefs.
Lưu trữ dữ liệu
Chúng tôi chỉ lưu giữ dữ liệu trong thời gian cần thiết:
- Dữ liệu tình báo về mối đe dọa: Được lưu giữ vô thời hạn như một phần của hồ sơ công khai. Tên miền và các chỉ số kỹ thuật không phải là dữ liệu cá nhân của người báo cáo.
- Nhật ký máy chủ (IP, trình duyệt): Được lưu giữ trong tối đa 90 ngày. Các bản ghi này chỉ được sử dụng cho mục đích giám sát an ninh, ngăn chặn các cuộc tấn công DDoS và phát hiện các hành vi thu thập dữ liệu trái phép từ các nguồn cấp dữ liệu của chúng tôi.
- Hồ sơ liên lạc: Được lưu giữ trong tối đa 12 tháng kể từ lần tương tác cuối cùng.
- Dữ liệu phân tích: Đã được ẩn danh và tổng hợp; dữ liệu ở cấp độ cá nhân được quản lý bởi Google Analytics theo các cài đặt lưu trữ riêng của dịch vụ này.
Bảo mật dữ liệu
Chúng tôi triển khai các biện pháp kỹ thuật mạnh mẽ, bao gồm mã hóa TLS/HTTPS bắt buộc. Chúng tôi sử dụng Cloudflare làm nền tảng CDN và lớp bảo mật, cung cấp khả năng bảo vệ chống DDoS và tường lửa ứng dụng web (WAF) đạt tiêu chuẩn doanh nghiệp. Tất cả các kết nối đều được mã hóa từ đầu đến cuối thông qua TLS. Xem Chính sách bảo mật để biết thêm chi tiết.
Chuyển giao dữ liệu quốc tế và các biện pháp trừng phạt
Hệ thống cơ sở hạ tầng của PhishDestroy được phân bố trên nhiều khu vực pháp lý, chủ yếu nằm trong Khu vực Kinh tế Châu Âu (EEA) và Hoa Kỳ.
- Tuân thủ các biện pháp trừng phạt: Theo sứ mệnh của chúng tôi và luật pháp quốc tế, PhishDestroy không cung cấp dịch vụ, xử lý các yêu cầu hoặc duy trì liên lạc với các cá nhân hoặc tổ chức có trụ sở tại Liên bang Nga, Belarus hoặc các khu vực pháp lý khác đang chịu các biện pháp trừng phạt quốc tế toàn diện.
- Loại bỏ dữ liệu: Mọi dữ liệu, báo cáo hoặc thông tin liên lạc có nguồn gốc từ các khu vực này đều có thể bị loại bỏ ngay lập tức mà không cần xử lý hay phản hồi.
Quyền của bạn
Tùy thuộc vào khu vực pháp lý của bạn, bạn có thể có quyền truy cập, chỉnh sửa, xóa hoặc hạn chế việc xử lý dữ liệu cá nhân của mình. Cư dân EU/EEA có các quyền bổ sung theo GDPR — vui lòng tham khảo trang chuyên biệt của chúng tôi Thông báo về GDPR để biết thêm chi tiết. Để thực hiện bất kỳ quyền nào liên quan đến dữ liệu, vui lòng gửi email privacy@phishdestroy.io.
Cookie
Chúng tôi chỉ sử dụng một số lượng tối thiểu cookie cho mục đích phân tích (Google Analytics và Microsoft Clarity) và bảo mật. Không có cookie nào dùng cho quảng cáo, tiếp thị hay phân tích hành vi người dùng. Để biết thêm chi tiết, vui lòng tham khảo Chính sách về cookie.
Quyền riêng tư của trẻ em
Các dịch vụ của chúng tôi không dành cho những người dưới 16 tuổi. Chúng tôi không cố ý thu thập dữ liệu cá nhân từ trẻ em. Nếu quý vị cho rằng một trẻ em đã cung cấp thông tin cá nhân cho chúng tôi, vui lòng liên hệ với chúng tôi và chúng tôi sẽ xóa thông tin đó.
Những thay đổi đối với Chính sách này
Chúng tôi có thể cập nhật Chính sách Bảo mật này để phản ánh những thay đổi trong các quy trình hoạt động của chúng tôi hoặc pháp luật hiện hành. Ngày “Cập nhật lần cuối” trong thông tin meta của trang sẽ được điều chỉnh cho phù hợp. Việc tiếp tục sử dụng các dịch vụ của chúng tôi sau khi có những thay đổi được coi là sự chấp nhận.
Liên hệ
Đối với mọi thắc mắc, yêu cầu hoặc khiếu nại liên quan đến quyền riêng tư:
- Email: privacy@phishdestroy.io
- Tiêu đề: Yêu cầu về quyền riêng tư (đối với các yêu cầu chính thức) hoặc Yêu cầu về quyền riêng tư (đối với các câu hỏi chung)