Chính Sách Bảo Mật Bay Cùng Halo 2026 — Cam Kết Bảo Vệ Dữ Liệu Cá Nhân Khách Hàng

Q: Bay Cùng Halo có lưu số thẻ tín dụng của tôi không?

Không. Chúng tôi không lưu trữ số thẻ, ngày hết hạn hay mã CVV. Thanh toán được xử lý qua cổng VNPay/Momo với 3D Secure, chỉ nhận lại Transaction ID.

Q: Dữ liệu của tôi bị xóa sau bao lâu kể từ lần đặt vé cuối cùng?

Dữ liệu giao dịch được lưu trữ 3 năm theo quy định kế toán. Sau đó, dữ liệu cá nhân sẽ bị xóa vĩnh viễn khỏi database chính.

Q: Tôi có thể yêu cầu xóa số CCCD khỏi hệ thống của Halo không?

Có. Gửi yêu cầu đến DPO@haloguys.com. Nếu không còn giao dịch đang diễn ra, chúng tôi sẽ xóa trong 30 ngày sau khi xác minh danh tính.

Q: Website haloguys.com có bị hack bao giờ chưa?

Từ 2018 đến nay chưa ghi nhận sự cố rò rỉ dữ liệu. Pentest định kỳ 6 tháng, WAF chặn ~12.000-15.000 request độc hại/ngày.

Q: Bay Cùng Halo có chia sẻ dữ liệu cho hãng Vietjet hay Vietnam Airlines không?

Có, chỉ giới hạn ở thông tin định danh để xuất vé (họ tên, ngày sinh, CCCD/hộ chiếu). Không chia sẻ email, SĐT hay lịch sử giao dịch.

Chính Sách Bảo Mật Bay Cùng Halo 2026 — Cam Kết Bảo Vệ Dữ Liệu Cá Nhân Khách Hàng

Chính sách bảo mật Bay Cùng Halo là văn bản pháp lý ràng buộc, công khai cách chúng tôi thu thập, sử dụng và bảo vệ dữ liệu cá nhân của hơn 150.000 khách hàng. Quy trình được xây dựng tuân thủ Nghị định 13/2023/NĐ-CP, Luật An toàn Thông tin Mạng 2015, và tiêu chuẩn bảo mật của IATA. Mọi giao dịch trên haloguys.com được bảo vệ bởi mã hóa SSL/TLS 1.3 và hệ thống tường lửa ứng dụng web (WAF), tuyệt đối không lưu trữ số thẻ tín dụng của khách hàng trên máy chủ.

🔐 Thu thập tối thiểu: Họ tên, số CCCD/hộ chiếu, email, số điện thoại — không lưu số thẻ tín dụng
⚖️ Tuân thủ Nghị định 13/2023/NĐ-CP và quy định IATA về bảo vệ dữ liệu hành khách
🛡️ Hạ tầng đạt chuẩn: AES-256 database, SSL/TLS 1.3, backup mỗi giờ
✉️ Quyền kiểm soát dữ liệu: Xem, sửa, xóa qua DPO@haloguys.com — phản hồi trong 72h

Câu hỏi: Chính sách bảo mật Bay Cùng Halo có thật sự an toàn không?

Trả lời: Có. Chúng tôi là đại lý vé máy bay IATA AGT 35-3-XXXX với 8 năm kinh nghiệm, vận hành hệ thống bảo mật đa lớp. Website sử dụng SSL/TLS 1.3, cơ sở dữ liệu được mã hóa AES-256, backup hàng giờ và sao lưu ngoại vi. Đặc biệt, chúng tôi không lưu trữ số thẻ tín dụng — mọi thanh toán được xử lý qua cổng VNPay/Momo với xác thực 3D Secure. Chính sách này được cập nhật mới nhất tháng 05/2026, tuân thủ đầy đủ Nghị định 13/2023/NĐ-CP về bảo vệ dữ liệu cá nhân.

1. Bay Cùng Halo thu thập những thông tin gì khi tôi đặt vé máy bay?

Khi khách hàng đặt vé máy bay trên haloguys.com, gọi đến hotline +84.377.102.962 hoặc đặt qua Zalo OA baycunghalo, chúng tôi chỉ thu thập 4 nhóm thông tin tối thiểu đủ để xuất vé theo quy định của Cục Hàng không Việt Nam và các hãng như Vietnam Airlines (VNA), Vietjet Air (VJ), Bamboo Airways (QH). Tất cả đều được liệt kê minh bạch và có sự đồng ý của khách hàng trước khi nhập liệu.

Chúng tôi áp dụng nguyên tắc “thu thập tối thiểu” (data minimization) — chỉ lấy đúng thông tin cần để hoàn tất giao dịch và chăm sóc hậu mãi. Cụ thể:

Thông tin định danh: Họ và tên đầy đủ (theo CCCD hoặc hộ chiếu), số CCCD (nội địa) hoặc số hộ chiếu (quốc tế), ngày sinh, quốc tịch. Đây là yêu cầu bắt buộc từ hệ thống Sabre, Amadeus và Galileo để tạo PNR và xuất vé đúng tên hành khách khi làm thủ tục tại sân bay SGN, HAN, DAD hay bất kỳ cảng hàng không nào.

Thông tin liên lạc: Số điện thoại di động chính (ưu tiên số có Zalo để nhận vé điện tử miễn phí) và địa chỉ email. Đây là kênh chúng tôi gửi E-ticket, lịch trình chi tiết, thông báo lùi/hủy chuyến và mã ưu đãi Halo Loyalty hoàn 1-3% giá vé.

Thông tin giao dịch: Lịch sử đặt vé, mã đặt chỗ (PNR), giá vé, hành trình bay (ví dụ: SGN-VCS của Bamboo Airways hoặc HAN-LAX của VNA), hạng vé và các dịch vụ bổ trợ (hành lý, suất ăn, chọn ghế). Chúng tôi không thu thập số thẻ tín dụng/ghi nợ — quý khách nhập trực tiếp trên cổng thanh toán của VNPay hoặc Momo với lớp bảo vệ 3D Secure.

Dữ liệu kỹ thuật: Cookie cần thiết để duy trì phiên đăng nhập, giỏ hàng; địa chỉ IP, loại trình duyệt, thời gian truy cập — phục vụ tối ưu trải nghiệm và ngăn chặn tấn công DDOS.

2. Thông tin của tôi được Bay Cùng Halo sử dụng vào mục đích gì?

Thông tin cá nhân của khách hàng chỉ được sử dụng cho 3 mục đích duy nhất: (1) Hoàn tất giao dịch đặt vé và các dịch vụ liên quan theo hợp đồng vận chuyển; (2) Chăm sóc khách hàng và hỗ trợ đổi/hoàn vé 24/7; (3) Tuân thủ nghĩa vụ pháp lý theo Nghị định 13/2023/NĐ-CP và yêu cầu từ cơ quan nhà nước có thẩm quyền. Chúng tôi không sử dụng dữ liệu cho mục đích quảng cáo cá nhân hóa hay bán cho bên thứ ba.

Mọi thao tác xử lý dữ liệu đều có căn cứ pháp lý rõ ràng: Thực hiện hợp đồng (khi mua vé) và Đồng ý của chủ thể (khi đăng ký nhận bản tin, tham gia Halo Loyalty). Dưới đây là chi tiết 3 mục đích chính:

1. Xử lý giao dịch vé máy bay: Thông tin định danh (họ tên, số CCCD/hộ chiếu) được truyền trực tiếp vào hệ thống Sabre/Amadeus của hãng hàng không để tạo PNR và xuất vé. Dữ liệu liên lạc (email, số điện thoại) dùng để gửi E-ticket, tin nhắn nhắc lịch bay trước 24h, và thông báo khẩn về thay đổi giờ bay từ Cục HKVN. Dữ liệu thanh toán chỉ được xử lý tạm thời qua cổng VNPay/Momo — chúng tôi không nhìn thấy số thẻ đầy đủ.

2. Chăm sóc sau bán hàng: Hotline +84.377.102.962 và đội ngũ văn phòng tại Quận 1 TPHCM, Đống Đa Hà Nội, Hải Châu Đà Nẵng sử dụng lịch sử đặt vé để hỗ trợ đổi/hoàn vé, nâng hạng, mua thêm hành lý. Hệ thống Halo Loyalty tự động tích lũy điểm và hoàn tiền 1-3% giá trị từ vé thứ 2 dựa trên dữ liệu giao dịch.

3. Tuân thủ pháp luật: Lưu trữ hồ sơ giao dịch trong 3 năm kể từ giao dịch cuối cùng theo quy định kế toán và thuế. Trong một số trường hợp, chúng tôi có thể phải cung cấp dữ liệu cho cơ quan nhà nước theo yêu cầu bằng văn bản hợp lệ (ví dụ: điều tra hành chính, an ninh hàng không). Mọi yêu cầu đều được Giám đốc Bảo vệ Dữ liệu (DPO) xem xét tính pháp lý trước khi thực hiện.

Mục đích sử dụng	Căn cứ pháp lý	Loại dữ liệu	Thời gian lưu trữ
Xuất vé máy bay	Thực hiện hợp đồng	Họ tên, CCCD/PP, ngày sinh	3 năm sau giao dịch
Gửi E-ticket & chăm sóc	Thực hiện hợp đồng + Đồng ý	Email, số điện thoại	3 năm sau giao dịch
Tích điểm Halo Loyalty	Đồng ý của chủ thể	Lịch sử giao dịch, tổng tiền	Theo vòng đời tài khoản
Phân tích web (Google Analytics)	Đồng ý (cookie analytics)	IP ẩn danh, hành vi click	26 tháng (Google mặc định)
Tuân thủ pháp luật	Nghĩa vụ pháp lý	Toàn bộ hồ sơ giao dịch	Theo yêu cầu cơ quan NN

3. Bay Cùng Halo có chia sẻ dữ liệu của tôi với hãng bay và đối tác không?

Có, nhưng chỉ ở mức tối thiểu và có kiểm soát. Để xuất vé thành công, chúng tôi buộc phải truyền một số thông tin định danh (họ tên, ngày sinh, số giấy tờ) lên hệ thống GDS của Vietnam Airlines (VNA), Vietjet Air (VJ), Bamboo Airways (QH), Vietravel Airlines (VU) và các đối tác thanh toán. Chúng tôi có thỏa thuận bảo mật dữ liệu (DPA) ràng buộc với tất cả đối tác, nghiêm cấm họ sử dụng dữ liệu vào mục đích khác.

Việc chia sẻ dữ liệu là bắt buộc về mặt kỹ thuật và pháp lý của ngành hàng không. Tuy nhiên, chúng tôi phân loại đối tác thành từng nhóm để kiểm soát dòng chảy dữ liệu:

Nhóm 1 — Hãng hàng không (Bắt buộc): Tên, ngày sinh, số CCCD/hộ chiếu, quốc tịch của hành khách được truyền trực tiếp vào PNR trên hệ thống Sabre (Sở hữu bởi Sabre Corporation) và Amadeus IT Group. Đây là yêu cầu cốt lõi của quy trình xuất vé IATA. Hãng sẽ đối chiếu thông tin này tại sân bay — nếu sai lệch, hành khách có thể bị từ chối bay theo quy định tại Thông tư 27/2017/TT-BGTVT.

Nhóm 2 — Đối tác thanh toán (Hạn chế tối đa): Khi thanh toán online, khách hàng được chuyển hướng đến cổng VNPay (Ngân hàng Nhà nước cấp phép) hoặc Ví Momo. Chúng tôi chỉ nhận lại mã giao dịch (Transaction ID), không lưu số thẻ, CVV hay ngày hết hạn. Giao dịch được bảo vệ bởi 3D Secure (Verified by Visa / Mastercard SecureCode) — một lớp xác thực thứ hai qua OTP.

Nhóm 3 — Bảo hiểm AIA (Tùy chọn): Nếu khách đồng ý nhận ưu đãi bảo hiểm du lịch miễn phí (50 triệu đồng nội địa, 100 triệu đồng quốc tế), chúng tôi chia sẻ họ tên và số điện thoại cho AIA Vietnam để kích hoạt hợp đồng. Dữ liệu này được truyền qua API mã hóa và AIA cam kết chỉ dùng cho hợp đồng bảo hiểm đó.

Nhóm 4 — Cơ quan pháp luật (Ngoại lệ): Chỉ khi có yêu cầu bằng văn bản từ cơ quan chức năng có thẩm quyền (Tòa án, Công an, Thanh tra Chính phủ) theo Luật An toàn Thông tin Mạng 2015, chúng tôi mới cung cấp dữ liệu khách hàng sau khi DPO của Halo đã thẩm định tính hợp pháp.

Chúng tôi tuyệt đối không bán, trao đổi, cho thuê dữ liệu khách hàng cho bất kỳ đơn vị quảng cáo, môi giới dữ liệu hay đối tác thương mại thứ ba nào.

4. Dữ liệu của tôi được Bay Cùng Halo bảo vệ như thế nào về mặt kỹ thuật?

Hạ tầng bảo mật của chúng tôi được thiết kế đa lớp (Defense in Depth), đáp ứng tiêu chuẩn bảo mật đại lý IATA cấp 1. Từ lớp mạng (HTTPS toàn site với TLS 1.3), lớp ứng dụng (WAF chống SQL Injection, XSS), đến lớp dữ liệu (mã hóa AES-256 cho database và backup), tất cả được giám sát 24/7 bởi đội ngũ vận hành tại Quận 1, TPHCM. Hệ thống backup tự động mỗi giờ và sao lưu tới máy chủ dự phòng cách xa vị trí địa lý.

Chúng tôi hiểu rằng khách hàng cung cấp thông tin nhạy cảm như số CCCD, hộ chiếu, và dữ liệu giao dịch. Vì vậy, hệ thống bảo mật của Halo được đầu tư nghiêm túc, không dùng chung hosting giá rẻ. Các biện pháp kỹ thuật cụ thể:

Lớp 1 — Mạng & Truyền tải: Toàn bộ website haloguys.com buộc sử dụng HTTPS với TLS 1.3 (phiên bản mới nhất, loại bỏ các thuật toán yếu như RC4, SHA-1). Điều này ngăn chặn tuyệt đối tấn công “Man-in-the-Middle” (nghe lén) khi khách nhập liệu trên form đặt vé hoặc gửi thông tin qua Zalo OA. Chứng chỉ SSL được cấp bởi tổ chức uy tín, tự động gia hạn.

Lớp 2 — Ứng dụng: Triển khai Web Application Firewall (WAF) từ Cloudflare Enterprise để ngăn chặn các cuộc tấn công phổ biến: SQL Injection (chèn mã độc vào ô nhập liệu), Cross-Site Scripting (XSS) (đánh cắp cookie phiên), Brute Force (dò mật khẩu admin). Mọi request đến máy chủ đều được phân tích và lọc trong thời gian thực.

Lớp 3 — Dữ liệu: Cơ sở dữ liệu khách hàng (bao gồm PNR, lịch sử giao dịch) được mã hóa lúc nghỉ (encryption-at-rest) bằng thuật toán AES-256 — tiêu chuẩn được chính phủ Hoa Kỳ phê duyệt để bảo vệ thông tin Tối mật. Key mã hóa được quản lý riêng biệt trên AWS Key Management Service (KMS) với cơ chế xoay vòng (rotation) định kỳ 90 ngày.

Lớp 4 — Backup & Phục hồi: Dữ liệu được backup tự động mỗi giờ và lưu trữ tại 2 vị trí địa lý khác nhau (Việt Nam và Singapore) qua kết nối mã hóa. Trong tình huống xấu nhất (cháy trung tâm dữ liệu, ransomware), chúng tôi có thể khôi phục dữ liệu với mức mất mát tối đa dưới 60 phút (RPO = 1 giờ).

Lớp 5 — Nhân sự: Chỉ 3 nhân sự cấp cao (CEO Tuấn Lê, CTO, DPO) có quyền truy cập vật lý vào máy chủ. Mọi thao tác truy vấn dữ liệu khách hàng vì mục đích hỗ trợ đều ghi log và được giám sát. Nhân viên văn phòng tại Hà Nội và Đà Nẵng làm việc qua VPN với xác thực 2 lớp.

5. Tôi có quyền gì đối với dữ liệu cá nhân đã cung cấp cho Halo?

Theo Nghị định 13/2023/NĐ-CP về Bảo vệ Dữ liệu Cá nhân, có hiệu lực từ 01/07/2023, khách hàng sở hữu đầy đủ các quyền cơ bản: Quyền được biết, Quyền truy cập, Quyền chỉnh sửa, Quyền rút lại đồng ý, Quyền xóa dữ liệu, Quyền khiếu nại. Tất cả các quyền này đều được chúng tôi tôn trọng và có quy trình thực hiện rõ ràng qua email DPO@haloguys.com, thời gian phản hồi cam kết dưới 72 giờ làm việc.

Chúng tôi thiết kế quy trình thực thi quyền chủ thể dữ liệu (Data Subject Request — DSR) đơn giản, không gây phiền hà:

Quyền truy cập & Nhận bản sao: Gửi email yêu cầu đến DPO@haloguys.com từ địa chỉ email đã dùng để đặt vé. Trong vòng 72h, chúng tôi sẽ cung cấp file PDF hoặc Excel liệt kê tất cả dữ liệu cá nhân của anh/chị trong hệ thống, bao gồm danh sách PNR, lịch sử giao dịch, và danh sách đối tác đã nhận dữ liệu (nếu có).
Quyền chỉnh sửa: Nếu phát hiện sai chính tả tên, số CCCD/hộ chiếu (cực kỳ quan trọng vì có thể bị từ chối bay tại sân bay SGN, HAN, DAD), hãy liên hệ ngay hotline +84.377.102.962. Với vé chưa xuất (< 2h sau thanh toán), chúng tôi sửa miễn phí. Với vé đã xuất, chúng tôi hỗ trợ làm thủ tục đổi tên với hãng (có phí theo quy định của từng hãng như Vietjet, VNA, Bamboo).
Quyền xóa dữ liệu: (Quyền được lãng quên) Gửi yêu cầu qua DPO. Chúng tôi sẽ xóa toàn bộ dữ liệu cá nhân của anh/chị khỏi hệ thống CRM và database chính trong 30 ngày. Ngoại lệ: Dữ liệu trong PNR đã xuất vé trên hệ thống Sabre/Amadeus không thể xóa do ràng buộc lưu trữ của hãng hàng không và quy định kiểm toán (lưu tối đa 3 năm). Chúng tôi sẽ thông báo chi tiết những gì không thể xóa và lý do.
Quyền rút lại đồng ý: Ngừng nhận email marketing, hủy tham gia Halo Loyalty, hoặc yêu cầu ngừng theo dõi cookie analytics. Có thể tự thực hiện bằng cách click “Unsubscribe” trong email hoặc điều chỉnh cài đặt cookie trên website.
Quyền khiếu nại: Nếu không hài lòng với cách chúng tôi xử lý yêu cầu, khách hàng có quyền khiếu nại lên Cục An toàn thông tin — Bộ Thông tin và Truyền thông, cơ quan giám sát thực thi Nghị định 13/2023/NĐ-CP tại Việt Nam.

6. Cookie và theo dõi trên website haloguys.com hoạt động ra sao?

Website haloguys.com sử dụng cookie với nguyên tắc “Tối thiểu & Minh bạch”. Chúng tôi chia cookie thành 2 nhóm: Cookie cần thiết (bắt buộc để website hoạt động, không cần sự đồng ý) và Cookie phân tích (từ Google Analytics, chỉ kích hoạt khi bạn nhấn “Đồng ý” trên banner). Không có cookie quảng cáo (retargeting) từ bên thứ ba vì chúng tôi không chạy chiến dịch remarketing dùng dữ liệu khách hàng.

Cookie cần thiết (Essential Cookies): Bao gồm session cookie (duy trì trạng thái đăng nhập, giỏ hàng vé máy bay), CSRF token (bảo vệ form khỏi tấn công giả mạo), và cookie lưu tùy chọn ngôn ngữ. Những cookie này là dạng “first-party”, hết hạn khi đóng trình duyệt hoặc sau 24h, không theo dõi hành vi qua các trang web khác. Theo quy định, chúng tôi không cần xin phép cho nhóm này.

Cookie phân tích (Analytics Cookies): Sử dụng Google Analytics 4 (GA4) với chế độ ẩn danh IP (IP Anonymization) được bật mặc định. Dữ liệu thu thập bao gồm: số trang xem, thời gian trên trang, đường dẫn giới thiệu (referrer), loại thiết bị (mobile/desktop). Tất cả đều là dữ liệu tổng hợp (aggregated) và không liên kết được với danh tính cụ thể. Cookie GA4 có thời hạn tối đa 2 năm. Khách hàng có thể từ chối bằng cách nhấn “Từ chối” trên cookie banner hoặc cài đặt tiện ích Google Analytics Opt-out Browser Add-on.

Tùy chỉnh cookie: Chúng tôi tích hợp công cụ quản lý sự đồng ý (Consent Management Platform) cho phép bạn bật/tắt từng nhóm cookie chi tiết. Chỉ cần click vào biểu tượng ổ khóa ở góc trái màn hình để mở lại bảng cài đặt bất kỳ lúc nào.

7. Tôi cần liên hệ ai khi có thắc mắc hoặc khiếu nại về bảo mật dữ liệu?

Mọi câu hỏi, yêu cầu liên quan đến quyền riêng tư và bảo mật dữ liệu tại Bay Cùng Halo, vui lòng gửi đến Giám đốc Bảo vệ Dữ liệu (DPO) qua email DPO@haloguys.com. Cam kết thời gian phản hồi ban đầu dưới 72 giờ làm việc. Với các vấn đề khẩn cấp (lộ lọt dữ liệu, nghi ngờ bị đánh cắp tài khoản), gọi ngay +84.377.102.962 để được kết nối trực tiếp đến CTO.

Chúng tôi coi trọng quyền riêng tư của khách hàng như chính uy tín 8 năm trong ngành hàng không. Vì vậy, kênh liên lạc DPO được thiết lập chuyên biệt, không chung với bộ phận kinh doanh hay marketing. Người đứng đầu DPO có chuyên môn về luật công nghệ thông tin, báo cáo trực tiếp CEO Tuấn Lê, đảm bảo tính độc lập trong giám sát tuân thủ.

Ngoài email, khách hàng có thể gửi thư bảo đảm về địa chỉ văn phòng chính: Bay Cùng Halo, Tầng 3, Tòa nhà Bitexco, Quận 1, TP. Hồ Chí Minh (ghi rõ “Gửi DPO — Bảo mật dữ liệu”).

FAQ

Q1: Bay Cùng Halo có lưu số thẻ tín dụng của tôi không?

A: Không. Chúng tôi không lưu trữ số thẻ, ngày hết hạn hay mã CVV trên bất kỳ máy chủ nào. Khi thanh toán online, bạn được chuyển hướng an toàn đến cổng VNPay hoặc Ví Momo — các đơn vị đạt chuẩn PCI DSS Level 1. Hệ thống của Halo chỉ nhận lại Transaction ID để xác nhận giao dịch đã thành công. Lớp bảo vệ 3D Secure (OTP từ ngân hàng) cũng được kích hoạt để ngăn chặn gian lận.

Q2: Dữ liệu của tôi bị xóa sau bao lâu kể từ lần đặt vé cuối cùng?

A: Theo quy định kế toán và Luật An toàn Thông tin Mạng, dữ liệu giao dịch được lưu trữ 3 năm kể từ ngày giao dịch cuối cùng. Sau thời gian này, dữ liệu cá nhân (tên, CCCD, email, SĐT) sẽ được xóa vĩnh viễn khỏi database chính. Dữ liệu trong PNR trên hệ thống Sabre/Amadeus sẽ do hãng hàng không quản lý theo chính sách riêng (thường là 3-7 năm tùy hãng).

Q3: Tôi có thể yêu cầu xóa số CCCD khỏi hệ thống của Halo không?

A: Có, nhưng chỉ khi bạn không còn giao dịch đang diễn ra (vé chưa bay, yêu cầu hoàn tiền đang xử lý). Gửi email đến DPO@haloguys.com với tiêu đề “Yêu cầu xóa dữ liệu — [Họ tên]”. Sau khi xác minh danh tính (qua email hoặc CCCD cũ), chúng tôi sẽ xóa số CCCD khỏi CRM và database. Nếu bạn vẫn còn vé tương lai, CCCD sẽ bị xóa ngay sau khi chuyến bay hoàn tất và hết thời gian khiếu nại.

Q4: Website haloguys.com có bị hack bao giờ chưa?

A: Từ khi thành lập năm 2018, hệ thống của chúng tôi chưa ghi nhận sự cố rò rỉ dữ liệu khách hàng nào. Chúng tôi thực hiện Penetration Test (kiểm tra xâm nhập) định kỳ 6 tháng bởi đơn vị bảo mật độc lập và scan lỗ hổng hàng tuần qua Cloudflare. Hệ thống WAF chặn trung bình 12.000-15.000 request độc hại mỗi ngày. Nếu có sự cố, chúng tôi sẽ thông báo cho khách hàng trong 24h theo quy định Nghị định 13/2023/NĐ-CP.

Q5: Bay Cùng Halo có chia sẻ dữ liệu cho hãng Vietjet hay Vietnam Airlines không?

A: Có, nhưng chỉ giới hạn ở thông tin định danh tối thiểu cần để xuất vé. Cụ thể, khi bạn đặt vé Vietnam Airlines (VNA) đi SGN-HAN, chúng tôi chỉ truyền vào PNR: Họ tên, ngày sinh, số CCCD, quốc tịch. Các hãng Vietjet Air (VJ), Bamboo Airways (QH), Vietravel Airlines (VU) cũng nhận dữ liệu ở mức tương tự. Họ không nhận được email, số điện thoại hay lịch sử mua hàng của anh/chị từ Halo.

Q6: Tôi đặt vé qua Zalo, thông tin có an toàn như trên web không?

A: Có. Zalo OA baycunghalo (tick xanh chính thức) được kết nối trực tiếp vào hệ thống CRM của chúng tôi qua API bảo mật riêng (TLS 1.3). Tin nhắn Zalo đã được mã hóa đầu cuối (end-to-end encryption) bởi Zalo. Tuy nhiên, với thông tin nhạy cảm như số CCCD/hộ chiếu, chúng tôi khuyến khích khách hàng gửi qua email support@haloguys.com hoặc nhập trực tiếp trên website haloguys.com để bảo mật tối ưu nhất.

Q7: Cookie trên website haloguys.com có theo dõi tôi sang các trang khác không?

A: Không. Chúng tôi chỉ dùng Google Analytics 4 với tính năng ẩn danh IP, không dùng cookie quảng cáo (retargeting) như Facebook Pixel hay Google Ads Remarketing. Dữ liệu cookie analytics chỉ cho biết có bao nhiêu người xem trang vé đi Côn Đảo, Phú Quốc, không cho biết anh A, chị B cụ thể. Anh/chị có thể kiểm tra và tắt bất kỳ lúc nào qua biểu tượng ổ khóa góc trái màn hình.

Q8: Ai là người chịu trách nhiệm cuối cùng nếu dữ liệu của tôi bị lộ?

A: Ông Tuấn Lê — Founder & CEO của Bay Cùng Halo, chịu trách nhiệm pháp lý cao nhất. Với tư cách Người đại diện theo pháp luật, ông Tuấn Lê chịu trách nhiệm trước pháp luật Việt Nam theo Nghị định 13/2023/NĐ-CP (mức phạt hành chính lên đến 5% tổng doanh thu năm tài chính trước đó). Chúng tôi cũng mua bảo hiểm trách nhiệm nghề nghiệp (Cyber Insurance) từ Lloyd’s với hạn mức bồi thường 500.000 USD cho các sự cố an ninh mạng.