Chính sách bảo mật

Tan Replay — Công cụ luyện tập giao dịch & backtest

Hiệu lực: 6 tháng 6, 2026 · Phiên bản 1.0

Trang này giải thích Tan Replay (sau đây gọi là "chúng tôi", "app") thu thập, sử dụng và bảo vệ dữ liệu cá nhân của bạn như thế nào. Chúng tôi viết bằng ngôn ngữ đơn giản, không thuật ngữ pháp lý phức tạp.

3 cam kết tuyệt đối:
① Chúng tôi KHÔNG bao giờ bán hay chia sẻ dữ liệu giao dịch của bạn cho bên thứ ba để quảng cáo.
② Chúng tôi KHÔNG bao giờ lưu mật khẩu dạng plain text — chỉ hash bcrypt.
③ Chúng tôi KHÔNG bao giờ lưu thông tin thẻ ngân hàng — toàn bộ thanh toán xử lý qua Stripe.

1. Dữ liệu chúng tôi thu thập

Loại dữ liệu	Mục đích	Lưu trong
Email, username	Đăng nhập, gửi thông báo quan trọng	Đến khi bạn xóa tài khoản
Lịch sử trade ảo (entry, exit, P&L, note, tag)	Tính năng cốt lõi: thống kê, leaderboard, journal	Đến khi bạn xóa
Drawings, settings cá nhân	Phục vụ trải nghiệm của bạn	Đến khi bạn xóa
Địa chỉ IP (logs)	Chống abuse, rate-limit, bảo mật	90 ngày rồi tự xóa
Browser / thiết bị (analytics ẩn danh)	Sửa bug, cải thiện UX	1 năm
Pattern sử dụng (aggregate)	Cải tiến sản phẩm	Đã ẩn danh, vĩnh viễn
Thông tin thanh toán	KHÔNG do chúng tôi giữ — Stripe xử lý	—
Mật khẩu	Hash bcrypt (one-way), không thể decrypt	Không bao giờ plain text

2. Chúng tôi dùng dữ liệu để làm gì

Vận hành tính năng cốt lõi — lưu session, tính thống kê, hiển thị leaderboard.
Bảo mật — phát hiện và ngăn abuse, scraping, gian lận challenge.
Cải thiện sản phẩm — phân tích aggregate ẩn danh để biết tính năng nào hữu ích.
Liên lạc cần thiết — thông báo về tài khoản, bảo mật, thay đổi quan trọng. Không spam marketing.

Chúng tôi không phân tích chiến lược giao dịch cụ thể của bạn để "học" hay bán cho ai. Chiến lược thuộc về bạn.

3. Cookies & Local Storage

Chúng tôi dùng localStorage của trình duyệt để lưu:

Setting cá nhân (symbol đang xem, timeframe, theme sáng/tối, indicator).
Vẽ trên chart (đường trend, hline, fib…) — keyed theo symbol.
API key tùy chọn cho data source (lưu local trên máy bạn, không gửi server).
Cookie consent flag để banner không hiện lại.

Không có third-party tracking cookie. Analytics dùng Cloudflare Web Analytics — privacy-first, không profile cá nhân.

Bạn có thể xóa toàn bộ dữ liệu local bất cứ lúc nào: DevTools → Application → Local Storage → Clear.

4. Quyền của bạn

Khi tài khoản được kích hoạt (Phase 1 đang phát triển), bạn sẽ có quyền:

Truy cập (Access) — xem toàn bộ dữ liệu chúng tôi giữ về bạn.
Sửa (Rectify) — chỉnh thông tin sai.
Xóa (Erasure) — xóa toàn bộ tài khoản + dữ liệu trong vòng 30 ngày kể từ khi yêu cầu.
Export — tải toàn bộ lịch sử trade dưới dạng CSV/JSON.
Phản đối — opt-out analytics ẩn danh nếu muốn.

Hiện tại app chưa có account → tất cả data chỉ tồn tại trên máy bạn (localStorage). Để xóa: xóa cache trình duyệt là xong.

5. Bảo mật

HTTPS everywhere — toàn bộ traffic encrypted, không có HTTP fallback.
Encryption at rest — database mã hóa khi lưu (do Supabase / Cloudflare quản lý).
Row-Level Security — user chỉ đọc được data của chính mình ở tầng database.
Rate limiting — chống brute-force, scraping.
JWT short-lived — token đăng nhập hết hạn nhanh, refresh token tách riêng.
Cloudflare — DDoS protection, bot detection mặc định.

6. Bên thứ ba mà chúng tôi gọi đến

Dịch vụ	Vai trò	Dữ liệu họ thấy
Binance public API	Lấy giá crypto (read-only, không cần key)	IP của bạn khi request giá
TwelveData / Tiingo	Giá forex & stocks	IP, symbol query (qua proxy Cloudflare Worker của app)
Cloudflare	CDN, DDoS, analytics	IP, user-agent (aggregate)
Stripe (sau này)	Thanh toán tier PRO	Email, payment info — chúng tôi không thấy số thẻ
Supabase (sau này)	Auth + database	Email, hash password, dữ liệu user của bạn

7. Trẻ em

App không dành cho người dưới 13 tuổi. Nếu các giải đấu có giải thưởng tiền thật (sau này), yêu cầu tối thiểu 18 tuổi. Chúng tôi không cố ý thu thập dữ liệu của trẻ em. Phụ huynh phát hiện con mình đã đăng ký, vui lòng liên hệ để xóa.

8. Thay đổi chính sách

Khi có thay đổi quan trọng (vd: bổ sung dịch vụ, thay đổi mục đích sử dụng data), chúng tôi sẽ:

Cập nhật ngày hiệu lực ở đầu trang.
Gửi email báo trước ít nhất 14 ngày (cho user có tài khoản).
Hiển thị banner trong app cho lần đăng nhập tiếp theo.

9. Liên hệ

Câu hỏi về privacy, yêu cầu data export/delete, hoặc khiếu nại GDPR:

Email: privacy@tanreplay.com (placeholder — sẽ active khi launch domain chính thức)
Bạn cũng có thể tag #privacy khi gửi feedback qua kênh Discord/Reddit của cộng đồng.

Chúng tôi cam kết phản hồi trong vòng 72 giờ kể từ khi nhận được yêu cầu, giải quyết trong vòng 30 ngày.