Chính sách bảo mật
Cập nhật lần cuối: Tháng 5 năm 2026
ScamLens ("chúng tôi") cam kết bảo vệ quyền riêng tư của bạn. Chính sách này giải thích cách chúng tôi thu thập, sử dụng và bảo vệ thông tin của bạn.
Thông tin chúng tôi thu thập
Thu thập tự động
Khi bạn sử dụng ScamLens, chúng tôi có thể thu thập: địa chỉ IP (được ẩn danh ngay lúc ghi bằng hàm băm SHA-256 với muối xoay vòng hằng ngày — không bao giờ được lưu ở dạng văn bản thuần hoặc dạng có thể nhận dạng), loại và phiên bản trình duyệt, các trang đã truy cập và tính năng đã sử dụng, các truy vấn tên miền bạn gửi để phân tích, vị trí địa lý gần đúng (quốc gia, thành phố và ASN suy ra từ tiêu đề yêu cầu), cùng dữ liệu đo lường thời gian được lưu trong Cloudflare Analytics Engine trong tối đa 90 ngày.
Thông tin tài khoản
Khi tạo tài khoản: email, tên hiển thị, mật khẩu hash, dữ liệu OAuth.
Đóng góp cộng đồng
Khi gửi báo cáo: tên miền, nội dung và loại, tên hiển thị, thời gian.
Tiện Ích OrangeDuck
Nếu bạn sử dụng tiện ích OrangeDuck cho Chrome: URL dấu trang, tiêu đề trang, nội dung trang (giới hạn 4.000 ký tự) cho phân tích AI, sao lưu đám mây mã hóa, tra cứu tên miền qua máy chủ RDAP và vector nhúng cho tìm kiếm ngữ nghĩa. Trong chế độ proxy mặc định, dữ liệu này được xử lý qua API backend. Tạo vector nhúng diễn ra tự động khi đăng nhập và có thể tắt trong cài đặt tiện ích.
Cách chúng tôi sử dụng thông tin
Phân tích bảo mật tên miền, ngăn chặn lạm dụng, cải thiện phát hiện mối đe dọa, hiển thị báo cáo cộng đồng, thông báo tài khoản.
Cơ sở pháp lý để xử lý (GDPR)
Chúng tôi xử lý dữ liệu cá nhân dựa trên các cơ sở hợp pháp sau theo Điều 6 GDPR: (a) Thực hiện hợp đồng — khi cung cấp dịch vụ tài khoản, tính năng trả phí và kết quả truy vết; (b) Lợi ích chính đáng — khi vận hành giới hạn tốc độ, phát hiện mối đe dọa và phòng chống lạm dụng (mục đích chống lừa đảo được công nhận là lợi ích chính đáng); (c) Sự đồng ý — đối với email tiếp thị và cookie không thiết yếu (bạn có thể rút lại bất cứ lúc nào); (d) Nghĩa vụ pháp lý — khi đáp ứng yêu cầu hợp pháp từ cơ quan có thẩm quyền hoặc tuân thủ sàng lọc chế tài.
Chia sẻ thông tin
Chúng tôi không bán thông tin cá nhân của bạn. Chúng tôi có thể chia sẻ thống kê đã được ẩn danh và tổng hợp (ví dụ tổng số lần quét). Chúng tôi chỉ chia sẻ dữ liệu với các nhà cung cấp dịch vụ bên thứ ba liệt kê dưới đây trong phạm vi cần thiết để cung cấp dịch vụ, theo các Thỏa thuận Xử lý Dữ liệu tuân thủ GDPR. Chúng tôi cũng có thể tiết lộ thông tin khi pháp luật yêu cầu (lệnh tòa án, trát hợp pháp, tuân thủ chế tài) hoặc để ngăn chặn thiệt hại sắp xảy ra.
Nhà cung cấp dịch vụ bên thứ ba
Chúng tôi sử dụng các bên xử lý sau để cung cấp dịch vụ: Cloudflare (lưu trữ, bảo mật, KV, cơ sở dữ liệu D1, Analytics Engine, lưu trữ đối tượng R2), Stripe (xử lý thanh toán cho các tính năng trả phí — đạt chuẩn PCI DSS Level 1), Brevo (email giao dịch và tiếp thị), Resend (gửi email), Anthropic và OpenAI (phân tích AI nội dung được gửi; theo hợp đồng doanh nghiệp của chúng tôi, truy vấn được xử lý nhưng không được dùng để huấn luyện mô hình), Google (Gemini AI dự phòng, Google Analytics 4 có đồng ý cookie, Search Console, Places API), và Sentry (giám sát lỗi). Mỗi bên xử lý đều cam kết hợp đồng tuân thủ GDPR thông qua các Thỏa thuận Xử lý Dữ liệu đã ký.
Cookie
Cookie tối thiểu: token xác thực, ngôn ngữ, chức năng thiết yếu. Không có cookie quảng cáo hoặc theo dõi.
Lưu giữ dữ liệu
Kết quả phân tích tên miền được lưu cache tối đa 24 giờ để tối ưu hiệu năng. Dữ liệu đo lường thời gian (truy vấn, lượt xem trang, kiểm tra sức khỏe, sự kiện kiểm toán) được lưu trong Cloudflare Analytics Engine khoảng 90 ngày, sau đó tự động xóa. Dữ liệu tài khoản được lưu giữ cho đến khi bạn xóa tài khoản. Báo cáo và bình luận cộng đồng được lưu vô thời hạn như một phần của cơ sở dữ liệu tình báo về mối đe dọa, nhưng các trường nhận dạng cá nhân gắn với tài khoản đã xóa sẽ được ẩn danh.
Dữ liệu phân tích và lưu trữ thời gian
Nền tảng chống lừa đảo của chúng tôi sử dụng Cloudflare Analytics Engine để lưu trữ các bản ghi thời gian cho truy vấn tên miền, lượt xem trang, kiểm tra sức khỏe và sự kiện kiểm toán. Địa chỉ IP được ẩn danh ngay khi ghi bằng hàm băm SHA-256 với muối xoay vòng hằng ngày (cùng một IP vào các ngày khác nhau sẽ tạo ra các hàm băm khác nhau, ngăn chặn việc tương quan dữ liệu theo ngày). Các bản ghi trong Analytics Engine được lưu khoảng 90 ngày và sau đó tự động xóa. Khi bạn xóa tài khoản, ID người dùng của bạn sẽ ngay lập tức được thêm vào danh sách chặn phía máy chủ để lọc dữ liệu của bạn khỏi mọi truy vấn trực tiếp, trong khi các bản ghi cơ sở sẽ hết hạn tự nhiên trong cửa sổ 90 ngày.
Quyền của bạn
Theo GDPR và luật bảo mật áp dụng, bạn có các quyền sau: truy cập dữ liệu cá nhân, yêu cầu xóa tài khoản và dữ liệu liên quan, từ chối các tính năng cộng đồng, xuất dữ liệu dưới định dạng có thể di chuyển, và khiếu nại với cơ quan giám sát địa phương. Khi bạn yêu cầu xóa tài khoản, chúng tôi sẽ (1) ngay lập tức thêm ID người dùng vào danh sách chặn phía máy chủ để loại khỏi mọi truy vấn trực tiếp; (2) ẩn danh các trường nhận dạng cá nhân trong kho lưu trữ kiểm toán dài hạn; (3) cho phép các bản ghi thời gian trong Analytics Engine hết hạn tự nhiên trong khoảng 90 ngày. Tự xóa tài khoản và xuất dữ liệu có sẵn trong phần cài đặt tài khoản (Xóa tài khoản, Xuất dữ liệu). Đối với các yêu cầu khác, vui lòng liên hệ privacy@safescan.com.
Bảo mật
Mã hóa HTTPS, mật khẩu hash, hạ tầng an toàn trên Cloudflare Workers.
Thay đổi chính sách
Chúng tôi có thể cập nhật chính sách. Người dùng đã đăng ký sẽ được thông báo qua email.
Liên hệ
Câu hỏi về bảo mật: privacy@safescan.com.
Dịch vụ truy vết dòng tiền crypto
Thu thập dữ liệu
Khi bạn sử dụng dịch vụ truy vết dòng tiền crypto, chúng tôi thu thập: địa chỉ ví bạn gửi để phân tích, địa chỉ email (để gửi kết quả truy vết), thông tin thanh toán (xử lý an toàn bởi Stripe — chúng tôi không lưu trữ thông tin thẻ) và địa chỉ IP (để giới hạn tần suất và phòng chống gian lận).
Khớp Mẫu OFAC (Giới Hạn)
Như một phần của phân tích theo dõi, các địa chỉ được khớp với khoảng 14 thực thể OFAC SDN nổi bật được mã hóa cứng (Tornado Cash, Lazarus Group, v.v.). Đây KHÔNG PHẢI là sàng lọc OFAC SDN đầy đủ — sàng lọc danh sách trừng phạt đầy đủ (OFAC SDN, UN, EU, OFSI) đang trong roadmap v2 của chúng tôi. Đối với các trường hợp sử dụng tuân thủ, hãy thực hiện kiểm tra OFAC độc lập qua Chainalysis Free Sanctions API hoặc OpenSanctions.
Xử lý và lưu trữ dữ liệu
Kết quả truy vết được lưu trữ trong 90 ngày sau khi hoàn thành, sau đó tự động bị xóa. Trong khoảng thời gian này, bạn có thể yêu cầu xóa dữ liệu truy vết bằng cách liên hệ hello@scamlens.org. Địa chỉ email của bạn chỉ được sử dụng để gửi kết quả truy vết và không được dùng cho mục đích tiếp thị.
Cơ sở pháp lý (GDPR)
Cơ sở pháp lý cho việc xử lý (GDPR): Thực hiện hợp đồng (Điều 6(1)(b)) — việc xử lý là cần thiết để cung cấp dịch vụ truy vết bạn đã mua.
Tuân thủ PCI
Tất cả việc xử lý thanh toán được thực hiện bởi Stripe, một bộ xử lý thanh toán được chứng nhận PCI DSS Level 1. ScamLens không lưu trữ, xử lý hoặc truyền dữ liệu thẻ tín dụng trên máy chủ của chúng tôi.
Hạn chế theo địa lý
Dịch vụ này không có sẵn cho người dùng ở các quốc gia chịu lệnh trừng phạt toàn diện của Hoa Kỳ (bao gồm nhưng không giới hạn ở Triều Tiên, Iran, Cuba, Syria và khu vực Crimea). Bằng cách sử dụng dịch vụ này, bạn xác nhận rằng bạn không cư trú hoặc thường trú tại một khu vực bị trừng phạt.