| Tên tài liệu | Phụ lục: Danh sách Nhà cung cấp Bên thứ ba của Trust AI |
|---|---|
| Phiên bản | 1.0 |
| Ngày ban hành | Tháng 5 năm 2026 |
| Phạm vi | Áp dụng cùng Điều Khoản Sử Dụng v1.0 và Chính sách Quyền riêng tư v1.0 |
| Cập nhật | Trust Soft cập nhật khi có thay đổi và thông báo theo Điều 14 Điều Khoản Sử Dụng |
| Đầu mối liên hệ | legal@trustsoft.com.vn | dpo@trustsoft.com.vn |
Phụ lục này là một phần không tách rời của Điều Khoản Sử Dụng Dịch Vụ Trust AI và Chính sách Bảo vệ Dữ liệu Cá nhân.
Phần 1. Giới thiệu
Phụ lục này công bố danh sách các nhà cung cấp bên thứ ba mà Trust Soft sử dụng để vận hành nền tảng Trust AI, bao gồm:
- Nhà cung cấp hạ tầng điện toán đám mây và dịch vụ liên quan;
- Nhà cung cấp mô hình ngôn ngữ lớn (Large Language Models — LLM Providers);
- Nhà cung cấp dịch vụ giám sát, bảo mật và phân tích;
- Các đối tác kỹ thuật khác có tiếp xúc với dữ liệu trong quá trình vận hành dịch vụ.
Thông tin — Phụ lục này được công bố nhằm thực hiện cam kết minh bạch về xử lý dữ liệu, đáp ứng yêu cầu của Nghị định 13/2023/NĐ-CP và hỗ trợ Tổ chức trong việc đánh giá rủi ro pháp lý khi sử dụng dịch vụ.
1.1. Cách đọc Phụ lục
Mỗi nhà cung cấp được mô tả với các thông tin chính:
- Tên: tên thương mại và tên pháp nhân (nếu khác).
- Loại dịch vụ: vai trò của nhà cung cấp trong hệ sinh thái Trust AI.
- Vị trí xử lý dữ liệu: quốc gia/khu vực nơi máy chủ thực hiện xử lý — yếu tố quan trọng để đánh giá rủi ro chuyển dữ liệu xuyên biên giới.
- Loại dữ liệu được chia sẻ: phạm vi dữ liệu mà Trust Soft chuyển cho nhà cung cấp.
- Cơ sở pháp lý: hợp đồng xử lý dữ liệu (DPA), điều khoản tiêu chuẩn (SCC) hoặc cam kết tương đương.
- Đường dẫn chính sách: liên kết đến chính sách bảo mật của nhà cung cấp.
1.2. Cập nhật Phụ lục
- Trust Soft cập nhật Phụ lục khi có thay đổi nhà cung cấp;
- Thông báo cập nhật được gửi cho Quản trị viên các Tổ chức tối thiểu 30 ngày trước khi thay đổi có hiệu lực (theo Điều 14.2 Điều Khoản Sử Dụng);
- Phiên bản hiện hành luôn được công bố tại địa chỉ liên hệ chính thức của Trust Soft.
Phần 2. Nhà cung cấp Mô hình Ngôn ngữ Lớn (LLM)
Các mô hình ngôn ngữ lớn (LLM) thực hiện xử lý nội dung prompt và sinh phản hồi AI. Đây là các thành phần xử lý dữ liệu nội dung trực tiếp nhất và đòi hỏi mức độ minh bạch cao nhất.
Thông tin — Tổ chức có quyền lựa chọn mô hình AI sử dụng trong gói dịch vụ của mình, có thể loại trừ một số nhà cung cấp theo nhu cầu (đặc biệt nếu có yêu cầu chỉ sử dụng nhà cung cấp đặt máy chủ tại Việt Nam) — theo Điều 14.3 Điều Khoản Sử Dụng.
2.1. FPT AI Factory (Việt Nam)
| Tên pháp nhân | Công ty TNHH FPT Smart Cloud (FPT AI Factory) |
|---|---|
| Loại dịch vụ | Cung cấp các mô hình ngôn ngữ lớn mã nguồn mở được FPT host trên hạ tầng đặt tại Việt Nam |
| Mô hình sử dụng | GPT OSS 120B; Qwen3.6-27B; GLM-5.1 |
| Vị trí xử lý dữ liệu | Trung tâm dữ liệu tại Việt Nam (do FPT AI Factory vận hành) |
| Loại dữ liệu chia sẻ | Nội dung prompt và ngữ cảnh trò chuyện cần thiết cho việc sinh phản hồi; không gửi dữ liệu định danh người dùng |
| Cam kết bảo mật | Dữ liệu không rời khỏi lãnh thổ Việt Nam; không sử dụng nội dung khách hàng để huấn luyện mô hình |
| Cơ sở pháp lý | Hợp đồng xử lý dữ liệu (DPA) giữa Trust Soft và FPT Smart Cloud, tuân thủ Nghị định 13/2023/NĐ-CP |
| Chuyển dữ liệu xuyên biên giới | Không |
| Khuyến nghị sử dụng | Phù hợp cho Tổ chức có yêu cầu cao về chủ quyền dữ liệu, đặc biệt cơ quan nhà nước |
| Đường dẫn chính sách | https://fptcloud.com/privacy-policy/ |
2.2. Microsoft Azure (Hoa Kỳ)
| Tên pháp nhân | Microsoft Corporation (cung cấp qua Microsoft Azure) |
|---|---|
| Loại dịch vụ | Cung cấp các mô hình ngôn ngữ lớn host trên Azure |
| Mô hình sử dụng | GPT-5.3 chat; GPT-5.4; GPT-5.4 mini; Kimi-K2.6 |
| Vị trí xử lý dữ liệu | Hoa Kỳ (US) |
| Loại dữ liệu chia sẻ | Nội dung prompt; ngữ cảnh trò chuyện; tài liệu kèm theo (nếu có); thông tin định danh kỹ thuật phiên (không bao gồm dữ liệu định danh người dùng) |
| Cam kết của nhà cung cấp | Microsoft cam kết không sử dụng dữ liệu khách hàng để huấn luyện mô hình nền (foundation model) |
| Cơ sở pháp lý | Hợp đồng xử lý dữ liệu (Data Processing Addendum) theo điều khoản chuẩn của Microsoft |
| Chuyển dữ liệu xuyên biên giới | Có (xử lý tại Hoa Kỳ) — đã thực hiện đánh giá tác động (TIA) và áp dụng biện pháp bảo vệ |
| Đường dẫn chính sách | https://www.microsoft.com/privacy |
2.3. DeepSeek API (Trung Quốc)
| Tên pháp nhân | DeepSeek (Hangzhou DeepSeek Artificial Intelligence Co., Ltd.) |
|---|---|
| Loại dịch vụ | Cung cấp các mô hình ngôn ngữ DeepSeek qua API |
| Mô hình sử dụng | Deepseek v3.2; Deepseek v4 Flash; Deepseek v4 Pro |
| Vị trí xử lý dữ liệu | Trung Quốc |
| Loại dữ liệu chia sẻ | Nội dung prompt và ngữ cảnh trò chuyện cần thiết cho việc sinh phản hồi; không gửi dữ liệu định danh người dùng |
| Cơ sở pháp lý | Điều khoản dịch vụ của DeepSeek API |
| Chuyển dữ liệu xuyên biên giới | Có — đã thực hiện đánh giá tác động (TIA) |
| Khuyến nghị sử dụng | Tổ chức cân nhắc theo yêu cầu nghiệp vụ; có thể opt-out theo Điều 14.3 Điều Khoản Sử Dụng |
| Đường dẫn chính sách | https://www.deepseek.com/privacy |
2.4. Tổng hợp so sánh các nhà cung cấp LLM
| Nhà cung cấp | Mô hình | Vị trí xử lý | Mức độ phù hợp cho khu vực công | Cam kết không huấn luyện trên dữ liệu khách hàng |
|---|---|---|---|---|
| FPT AI Factory | GPT OSS 120B, Qwen3.6-27B, GLM-5.1 | Việt Nam | Cao — khuyến nghị | Có (host nội địa, theo DPA) |
| Microsoft Azure | GPT-5.3 chat, GPT-5.4, GPT-5.4 mini, Kimi-K2.6 | Hoa Kỳ | Trung bình — cao | Có (cam kết của Microsoft) |
| DeepSeek API | Deepseek v3.2, v4 Flash, v4 Pro | Trung Quốc | Thấp — cần đánh giá | Theo điều khoản nhà cung cấp |
Phần 3. Nhà cung cấp Hạ tầng Điện toán Đám mây
Trust AI ưu tiên triển khai trên hạ tầng đám mây có máy chủ đặt tại Việt Nam để đảm bảo chủ quyền dữ liệu và tuân thủ Luật An ninh mạng.
3.1. Hạ tầng chính
| Loại dịch vụ | Hạ tầng máy chủ ảo (IaaS), lưu trữ đối tượng, mạng nội bộ, cân bằng tải |
|---|---|
| Vị trí trung tâm dữ liệu | Việt Nam (Hà Nội, TP. Hồ Chí Minh) |
| Loại dữ liệu lưu trữ | Toàn bộ dữ liệu của Tổ chức (tài khoản, tài liệu, lịch sử trò chuyện, log) |
| Cam kết | Tuân thủ Luật An ninh mạng, lưu trữ dữ liệu trong nước |
| Cơ sở pháp lý | Hợp đồng xử lý dữ liệu (DPA) ký kết giữa Trust Soft và nhà cung cấp |
| Tiêu chuẩn bảo mật | ISO 27001 hoặc tương đương; chứng chỉ an toàn thông tin theo quy định Việt Nam |
Ghi chú: Tên cụ thể của nhà cung cấp hạ tầng được công bố cho Tổ chức trong tài liệu kèm theo Hợp đồng Dịch vụ và có thể có yêu cầu bảo mật theo thỏa thuận song phương.
3.2. Dịch vụ phụ trợ
| Loại dịch vụ | Mục đích | Vị trí xử lý |
|---|---|---|
| Dịch vụ CDN (mạng phân phối nội dung) | Tăng tốc tải tài nguyên giao diện (CSS, JS, hình ảnh) | Đa khu vực — không xử lý dữ liệu nội dung |
| Dịch vụ email giao dịch | Gửi email xác thực, thông báo hệ thống | Việt Nam (ưu tiên) hoặc khu vực Đông Nam Á |
| Dịch vụ vector database | Lưu trữ và truy vấn embedding của tài liệu trong kho dữ liệu | Việt Nam (cùng vị trí với hạ tầng chính) |
| Dịch vụ ASR (chuyển giọng nói thành văn bản) | Hỗ trợ chế độ Ghi giọng nói thành văn bản | Việt Nam (ưu tiên) hoặc Singapore |
Phần 4. Nhà cung cấp Dịch vụ Giám sát và Bảo mật
Các dịch vụ này hỗ trợ Trust Soft phát hiện sự cố, đảm bảo hiệu năng và bảo vệ hệ thống. Các nhà cung cấp này KHÔNG xử lý nội dung của người dùng — chỉ xử lý log kỹ thuật và dữ liệu vận hành.
| Loại dịch vụ | Mục đích | Loại dữ liệu xử lý |
|---|---|---|
| Giám sát hiệu năng ứng dụng (APM) | Phát hiện lỗi, đo thời gian phản hồi, tối ưu hệ thống | Log kỹ thuật, mã lỗi, thông số hiệu năng (không có nội dung người dùng) |
| Quản lý nhật ký tập trung | Tổng hợp và phân tích log từ các dịch vụ | Log truy cập, log hoạt động hệ thống |
| Tường lửa ứng dụng web (WAF) | Chặn tấn công nhắm vào ứng dụng web (SQL injection, XSS...) | Yêu cầu HTTP, địa chỉ IP, dấu vết tấn công |
| Hệ thống phát hiện xâm nhập (IDS) | Phát hiện và cảnh báo các hoạt động bất thường trên hạ tầng mạng | Lưu lượng mạng, log truy cập |
| Quản lý chứng chỉ SSL/TLS | Cấp và gia hạn chứng chỉ HTTPS | Tên miền (không xử lý nội dung) |
| Sao lưu và phục hồi (DR) | Sao lưu định kỳ và khôi phục khi có sự cố | Bản sao lưu mã hóa của toàn bộ dữ liệu hệ thống |
Phần 5. Đối tác Tích hợp Kênh ngoài
Khi Tổ chức kích hoạt các tính năng tích hợp với nền tảng bên ngoài, các nền tảng đó tham gia vào quá trình xử lý dữ liệu với vai trò riêng.
5.1. Zalo Official Account (Zalo OA)
| Tên pháp nhân | Công ty Cổ phần VNG (Zalo) |
|---|---|
| Loại dịch vụ | Nền tảng nhắn tin OA cho phép Tổ chức tương tác với người dùng cuối |
| Vai trò pháp lý | Bên Kiểm soát độc lập (đối với dữ liệu Zalo của người dùng cuối) hoặc Bên Xử lý đồng (joint) |
| Vị trí xử lý dữ liệu | Việt Nam |
| Loại dữ liệu liên quan | ID người dùng Zalo, tin nhắn trao đổi qua kênh OA |
| Trách nhiệm Tổ chức | Tuân thủ điều khoản Zalo OA; thông báo người dùng cuối về việc xử lý qua AI (Điều 26 và Điều 27 Điều Khoản Sử Dụng) |
| Đường dẫn chính sách | https://zalo.me/policy |
5.2. Web Component (nhúng trên website của Tổ chức)
- Web Component được nhúng vào website của Tổ chức theo cấu hình của Tổ chức.
- Trust Soft cung cấp công nghệ; Tổ chức là chủ sở hữu website và là Bên Kiểm soát dữ liệu cá nhân của người dùng cuối truy cập website.
- Trust Soft xử lý các tin nhắn được gửi qua Web Component theo vai trò Bên Xử lý.
- Tổ chức chịu trách nhiệm: hiển thị thông báo bảo mật, cookie consent (nếu có), tuân thủ chính sách quyền riêng tư của website mình.
Phần 6. Cơ chế Kiểm soát và Đánh giá
6.1. Tiêu chí lựa chọn nhà cung cấp
Trust Soft áp dụng các tiêu chí sau khi lựa chọn nhà cung cấp bên thứ ba:
- Có chứng chỉ bảo mật quốc tế (ISO 27001, SOC 2, hoặc tương đương);
- Cam kết tuân thủ pháp luật Việt Nam, đặc biệt Nghị định 13/2023/NĐ-CP và Luật An ninh mạng;
- Có hợp đồng xử lý dữ liệu (DPA) hoặc cam kết tương đương được ký kết bằng văn bản;
- Có cam kết không sử dụng dữ liệu khách hàng để huấn luyện mô hình AI mà không có sự đồng ý;
- Có cơ chế thông báo sự cố bảo mật rõ ràng;
- Có chính sách quyền riêng tư công khai và đầy đủ.
6.2. Đánh giá định kỳ
- Trust Soft thực hiện đánh giá rủi ro các nhà cung cấp bên thứ ba tối thiểu mỗi 12 tháng.
- Đánh giá đột xuất khi có thay đổi đáng kể (chính sách của nhà cung cấp, sự cố bảo mật, thay đổi pháp luật).
- Kết quả đánh giá được lưu trữ và sẵn sàng cung cấp cho Tổ chức theo yêu cầu hợp lệ.
6.3. Quyền của Tổ chức
- Yêu cầu thông tin chi tiết về một nhà cung cấp cụ thể (chứng chỉ, DPA, vị trí lưu trữ).
- Yêu cầu loại trừ một nhà cung cấp khỏi quy trình xử lý dữ liệu của mình theo Điều 14.3 Điều Khoản Sử Dụng.
- Yêu cầu báo cáo định kỳ về danh sách nhà cung cấp đang tham gia xử lý dữ liệu của Tổ chức.
- Tham gia kiểm toán (audit) đối với hoạt động xử lý dữ liệu của Trust Soft, theo các điều khoản trong Hợp đồng Dịch vụ.
6.4. Đầu mối liên hệ
| Bộ phận Pháp lý | legal@trustsoft.com.vn |
|---|---|
| Đầu mối Bảo vệ Dữ liệu Cá nhân (DPO) | dpo@trustsoft.com.vn |
| Đầu mối Sự cố Bảo mật (24/7) | security@trustsoft.com.vn |
| Hỗ trợ chung | support@trustsoft.com.vn |
─── Hết tài liệu ───
