OCVideoAI← Về trang chủ

Chính sách bảo mật

Cập nhật lần cuối: 09/05/2026

1. Giới thiệu

OC Video AI ("chúng tôi") cam kết bảo vệ quyền riêng tư của bạn. Tài liệu này giải thích dữ liệu gì được thu thập, lý do, nơi lưu trữ, và quyền của bạn. Thiết kế cốt lõi của chúng tôi: càng ít dữ liệu càng tốt — app chạy hoàn toàn trên máy bạn, server của chúng tôi chỉ xử lý auth và subscription.

2. Dữ liệu chúng tôi thu thập

2.1 Thông tin tài khoản (qua Google OAuth)

  • Email
  • Tên hiển thị
  • Avatar URL
  • Google User ID

Chúng tôi không đọc Gmail, Drive, Contacts, hay bất kỳ dữ liệu nào khác từ Google — chỉ profile cơ bản.

2.2 Thông tin subscription

  • Gói (monthly/yearly), trạng thái (active/inactive)
  • Ngày bắt đầu, ngày hết hạn
  • Polar subscription ID (để đối chiếu với webhook)

2.3 Thông tin thanh toán

Xử lý hoàn toàn bởi Polar.sh. Chúng tôi chỉ nhận webhook với emailplan. Chúng tôi không bao giờ thấy số thẻ, CVV, hay thông tin thanh toán của bạn.

2.4 Logs kỹ thuật

  • IP address, User agent, timestamp — lưu 30 ngày trên Railway
  • Endpoint được gọi (không lưu body request)

3. Dữ liệu chúng tôi KHÔNG thu thập

Những thứ sau KHÔNG bao giờ rời khỏi máy bạn:

  • API keys của bạn cho AI (Claude/OpenAI/Gemini) và TTS (LarVoice)
  • Video scripts, prompts, chủ đề bạn nhập vào
  • Video MP4 đã render, scene HTML, audio TTS
  • Assets upload (logo, ảnh, brand materials)
  • Lịch sử dự án, settings cá nhân

Tất cả chạy 100% cục bộ trên máy bạn. Server chúng tôi chỉ xử lý auth + subscription gate.

4. Mục đích sử dụng dữ liệu

  • Xác thực: kiểm tra bạn có subscription active mới cho dùng app.
  • Email giao dịch: gửi welcome email, nhắc hết hạn license (7/3/1 ngày trước).
  • Xử lý thanh toán: đối chiếu Polar webhook để gán license vào tài khoản.
  • Thống kê tổng hợp: số user active, plan mix — không cá nhân hóa.
  • Hỗ trợ khách hàng: khi bạn email chúng tôi để yêu cầu hỗ trợ.

5. Cookies và tracking

  • Website dùng cookies kỹ thuật cho session login (bắt buộc để login hoạt động).
  • Không Google Analytics, Facebook Pixel, hay tracker quảng cáo nào trên website.
  • App desktop không gửi telemetry, không track hành vi của bạn.

6. Nơi lưu trữ dữ liệu

Nơi lưuDữ liệuKhu vực
SupabaseUser profile, subscription, creditsSingapore (AWS)
Polar.shPayment records, billing infoUSA (Stripe)
ResendEmail delivery logs (30 ngày)USA
RailwayAPI logs, proxy (30 ngày)USA / Asia
VercelWebsite hosting, edge logsGlobal CDN
GitHubPhân phối installer (public release)USA

7. Chia sẻ với bên thứ ba

Chúng tôi chia sẻ dữ liệu tối thiểu cần thiết với các dịch vụ hạ tầng sau:

  • Supabase — managed database (email, subscription).
  • Polar.sh — payment processing (email, plan).
  • Resend — gửi email giao dịch (email, name).
  • Railway — host proxy backend (log kỹ thuật).
  • Vercel — host website (không nhận user data trực tiếp).
  • Google — OAuth identity (không chia sẻ thêm data gì sau login).

Chúng tôi KHÔNG bao giờ:

  • Bán dữ liệu cho advertisers hoặc data brokers
  • Chia sẻ email của bạn với bên thứ ba ngoài danh sách trên
  • Gửi marketing email cho user đã opt-out
  • Dùng dữ liệu cho training AI của bên thứ ba

8. Quyền của bạn

Bạn có quyền (tương thích với GDPR, CCPA, PDPA):

  • Truy cập (Access): yêu cầu bản sao dữ liệu của bạn.
  • Sửa đổi (Rectification): cập nhật thông tin không chính xác.
  • Xóa (Erasure): yêu cầu xóa toàn bộ dữ liệu — xử lý trong 30 ngày.
  • Hạn chế xử lý: tạm dừng xử lý dữ liệu của bạn.
  • Di chuyển dữ liệu (Portability): nhận dữ liệu ở format JSON.
  • Rút lại đồng ý: hủy subscription bất cứ lúc nào.

Để thực thi các quyền trên, email hello@ocvideoai.com với subject "Privacy Request". Chúng tôi phản hồi trong vòng 30 ngày.

9. Bảo mật

  • Không lưu mật khẩu — đăng nhập qua Google OAuth (bạn tự quản lý tại Google).
  • HTTPS toàn bộ — mọi request giữa app và server đều mã hóa.
  • OS Keychain — token auth trên máy bạn lưu trong Windows Credential Manager / macOS Keychain (không plaintext).
  • Row-Level Security — database policies chỉ cho bạn đọc data của chính bạn.
  • JWT expiry 30 phút — session token tự hết hạn sớm, tự refresh.
  • Hạ tầng SOC 2 — Supabase + Vercel đều có chứng nhận SOC 2.

10. Trẻ em

Dịch vụ dành cho người từ 13 tuổi trở lên. Chúng tôi không chủ động thu thập dữ liệu của trẻ em dưới 13 tuổi. Nếu phát hiện tài khoản thuộc về trẻ em dưới 13, chúng tôi sẽ xóa dữ liệu và chấm dứt tài khoản. Phụ huynh/giám hộ có thể email chúng tôi để báo cáo.

11. Thay đổi chính sách

Chúng tôi có thể cập nhật chính sách này theo thời gian. Thay đổi lớn (ảnh hưởng quyền của bạn hoặc cách xử lý dữ liệu) sẽ được thông báo qua email ít nhất 30 ngàytrước khi có hiệu lực. Ngày "Cập nhật lần cuối" ở đầu trang luôn phản ánh phiên bản hiện tại.

12. Liên hệ — Data Protection Officer

Câu hỏi, khiếu nại, hoặc yêu cầu về quyền riêng tư: hello@ocvideoai.com
Subject: "Privacy — [loại yêu cầu]"
Thời gian phản hồi: trong vòng 30 ngày.