Chính sách bảo mật

dành cho ứng dụng web nội bộ “YT Stream” (https://fast.imh-group.us) — Tính đến: tháng 6 năm 2025

1. Bộ điều khiển

Đơn vị kiểm soát theo nghĩa của Quy định chung về bảo vệ dữ liệu (GDPR) là:

IMH Group, Inc.
8 The Green, Ste B
Dover, DE 19901
United States

Người đại diện được ủy quyền: Christian Aberle
Liên hệ chung: info@imh-group.us, Điện thoại: +1 (302) 212-0640

Yêu cầu về quyền riêng tư (truy cập, xóa, cải chính, phản đối): info@imh-group.us

Thông tin chi tiết về công ty cũng có sẵn trong Thông tin pháp lý hoặc Imprint – IMH Group Inc.

2. Mục đích của đơn đăng ký

YT Stream là công cụ quản trị nội bộ của IMH Group, Inc. để quản lý các luồng trực tiếp trên YouTube (kênh, danh sách phát, lịch biểu, phương tiện). Quyền truy cập bị hạn chế đối với nhân viên và quản trị viên được ủy quyền. Không sử dụng cookie theo dõi, tiếp thị hoặc phân tích khách truy cập.

3. Dữ liệu được xử lý

  • Tài khoản người dùng: Tên người dùng, mật khẩu băm (bcrypt), vai trò (quản trị viên/nhân viên), trạng thái kích hoạt, dấu thời gian tạo.
  • Cookie phiên: yêu cầu về mặt kỹ thuật để đăng nhập và ủy quyền (xem phần 4).
  • Cấu hình kênh và luồng: Tên kênh, sên, lịch trình, mục danh sách phát (đường dẫn/tiêu đề tệp), cài đặt bộ mã hóa.
  • Khóa truyền phát và mã thông báo OAuth: được lưu trữ mã hóa trong cơ sở dữ liệu (Fernet, bắt nguồn từ bí mật ứng dụng).
  • Nhật ký kiểm tra: Dấu thời gian, tên người dùng đã đăng nhập, hành động (ví dụ: tạo, chỉnh sửa, bắt đầu/dừng), ID kênh tùy chọn và chi tiết ngắn (ví dụ: tên kênh) — không có mật khẩu hoặc khóa phát trực tuyến ở dạng văn bản thuần túy.
  • Bảo mật/giới hạn tỷ lệ: Địa chỉ IP khi đăng nhập không thành công, tạm thời trong bộ nhớ (tối đa 15 phút, không được lưu trữ vĩnh viễn).
  • Nhật ký hoạt động và lỗi: nhật ký kỹ thuật trên máy chủ (Plesk EU), nội dung tùy thuộc vào cấu hình máy chủ.

Vai trò của nhân viên không thể xem khóa luồng ở dạng văn bản thuần túy; quản trị viên có thể quản lý khóa. Giao diện người dùng cố tình tránh hiển thị dữ liệu cá nhân không cần thiết trong tin nhắn.

4. Cookie

Chỉ có cookie phiên (thường được đặt tên là phiên) được đặt. Cookie này được yêu cầu nghiêm ngặt để đăng nhập và không yêu cầu sự đồng ý theo Mục 25 TTDSG kết hợp với GDPR Recital 28.

  • HttpOnly: có — không có quyền truy cập qua JavaScript trong trình duyệt.
  • Cùng một trang web: Lax (Starlette SessionMiddleware).
  • Chắc chắn: đang được sản xuất với HTTPS hoặc khi PUBLIC_BASE_URL sử dụng https:// hoặc các tiêu đề proxy đáng tin cậy được bật.

Trang đăng nhập cho biết rằng việc đăng nhập sẽ đặt cookie này. Không có biểu ngữ cookie cho cookie tiếp thị hoặc phân tích vì không có cookie nào được sử dụng.

5. Căn cứ pháp lý (Điều 6 GDPR)

  • Nghệ thuật. 6(1)(b): Xử lý để thực hiện mối quan hệ sử dụng hoặc cung cấp dịch vụ nội bộ cho người dùng được ủy quyền.
  • Nghệ thuật. 6(1)(f): lợi ích hợp pháp về bảo mật CNTT, truy xuất nguồn gốc các thay đổi (nhật ký kiểm tra), ngăn chặn lạm dụng (giới hạn tỷ lệ đăng nhập).

6. Giữ lại

  • Tài khoản người dùng: cho đến khi bị quản trị viên vô hiệu hóa hoặc xóa hoặc có yêu cầu bằng văn bản tới info@imh-group.us.
  • Phiên họp: cho đến khi đăng xuất hoặc kết thúc phiên trình duyệt.
  • Nhật ký kiểm tra: cho đến khi dọn dẹp thủ công hoặc xóa cơ sở dữ liệu; thường được giữ lại trong thời gian dài hơn để truy xuất nguồn gốc hoạt động. Các mục liên quan đến người dùng có thể được giải quyết theo yêu cầu.
  • Giới hạn tốc độ đăng nhập (IP): tối đa 15 phút trong bộ nhớ, sau đó tự động xóa.
  • Nhật ký máy chủ: theo chính sách lưu giữ của nhà cung cấp dịch vụ lưu trữ (Plesk EU).

7. Người nhận và bên thứ ba

Dữ liệu không được chia sẻ với các dịch vụ quảng cáo hoặc phân tích. YT Stream không bao gồm tính năng theo dõi tích hợp (ví dụ: Google Analytics).

Khi sử dụng các tính năng tùy chọn, dữ liệu có thể được truyền tới:

  • YouTube/Google: khi sử dụng OAuth hoặc API, phải tuân theo chính sách bảo mật của Google.
  • Sứa: chỉ khi được định cấu hình (truy vấn siêu dữ liệu).
  • Lưu trữ (Plesk EU): vận hành máy chủ theo thỏa thuận xử lý dữ liệu với nhà cung cấp.

Tài nguyên CDN bên ngoài (Tailwind, htmx) được tải cho giao diện người dùng; Về mặt kỹ thuật, địa chỉ IP có thể được nhà cung cấp CDN xử lý. Các tập tin tĩnh cục bộ có thể được sử dụng thay thế.

8. Biện pháp kỹ thuật và tổ chức

  • Mật khẩu được băm bằng bcrypt, không được lưu trữ ở dạng văn bản thuần túy.
  • Khóa luồng và mã thông báo làm mới OAuth được lưu trữ bằng mã hóa Fernet trong cơ sở dữ liệu.
  • HTTPS được dự định đưa vào sản xuất; cookie phiên nhận được cờ Bảo mật khi được định cấu hình.
  • Dữ liệu ứng dụng (DATA_DIR: cơ sở dữ liệu, nhật ký, bộ đệm) nằm ngoài web root công cộng hoặc được bảo vệ bởi các quy tắc máy chủ.
  • Chỉ truy cập sau khi xác thực; hạn chế dựa trên vai trò đối với nhân viên.
  • Bảo vệ CSRF cho các hành động dựa trên biểu mẫu.

9. Quyền của bạn

Bạn có các quyền sau đối với người kiểm soát, trong số những quyền khác:

  • Quyền truy cập (Điều 15 GDPR)
  • Cải chính (Điều 16 GDPR)
  • Xóa (Điều 17 GDPR)
  • Hạn chế xử lý (Điều 18 GDPR)
  • Phản đối việc xử lý dựa trên lợi ích hợp pháp (Điều 21 GDPR)
  • Khả năng di chuyển dữ liệu, nếu có (Điều 20 GDPR)
  • Gửi khiếu nại lên cơ quan giám sát (Điều 77 GDPR)

Xóa tài khoản nhân viên: Quản trị viên có thể vô hiệu hóa tài khoản trong phần quản lý người dùng hoặc xóa hoàn toàn tài khoản nhân viên. Nếu có yêu cầu thêm, hãy liên hệ info@imh-group.us.

10. Không có nghĩa vụ cung cấp dữ liệu

Việc sử dụng YT Stream cần có sự ủy quyền nội bộ. Nếu không cung cấp dữ liệu cần thiết để đăng nhập thì không thể sử dụng.

Thông tin pháp lý