นโยบายความเป็นส่วนตัว / Privacy Policy
เวอร์ชั่น 1 — ปรับปรุง 2026-04-30
1. ข้อมูลที่เก็บรวบรวม
- บัญชีผู้ใช้: อีเมล รหัสผ่าน (เข้ารหัส bcrypt) ชื่อธุรกิจ
- การใช้งาน: IP address, user agent, ประวัติการเข้าสู่ระบบ
- บอท + เนื้อหา: credentials ของแพลตฟอร์ม (LINE/Telegram/Facebook) เข้ารหัสที่ DB, เอกสารที่ผู้ใช้อัปโหลด, บทสนทนาระหว่างบอทกับลูกค้าของผู้ใช้ (เข้ารหัสที่ DB)
- การชำระเงิน: ผ่าน Stripe — Moxzo ไม่เก็บเลขบัตร
2. วัตถุประสงค์ในการประมวลผล
- ให้บริการแพลตฟอร์ม chatbot
- เรียกเก็บค่าบริการ
- ป้องกัน abuse / fraud
- ส่งอีเมลสำคัญเกี่ยวกับบัญชี (transactional)
- ส่งข่าวสาร/โปรโมชั่น (เฉพาะที่ยินยอม)
3. ฐานทางกฎหมาย (พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล มาตรา 24)
- การปฏิบัติตามสัญญาบริการ
- ผลประโยชน์โดยชอบด้วยกฎหมาย (security, fraud prevention)
- ความยินยอม (สำหรับ marketing เท่านั้น — ถอนได้เสมอ)
- การปฏิบัติตามกฎหมาย (เก็บข้อมูลการเงิน 7 ปี)
4. การเปิดเผยต่อบุคคลที่สาม (Third Parties)
- Stripe — ประมวลผลการชำระเงิน
- Resend / SMTP — ส่งอีเมล transactional
- Sentry — บันทึก error logs (PII ถูก scrub)
- OpenAI — ประมวลผลการตอบของบอท (เฉพาะข้อความที่ส่งให้บอทตอบ)
- DeepSeek — fallback LLM เมื่อเครดิตหมด
5. ระยะเวลาเก็บรักษา
- บัญชีที่ใช้งาน — ตลอดอายุการเป็นสมาชิก
- บัญชีที่ขอลบ — 30 วัน grace period จากนั้น hard-delete (PII) + anonymise (chat content)
- บันทึกการเงิน — 7 ปี (พ.ร.บ.การบัญชี)
- บันทึกความปลอดภัย — 6 เดือน
- บทสนทนาบอท — 1 ปี (เข้ารหัสที่ DB)
6. สิทธิของเจ้าของข้อมูล (Data Subject Rights)
- เข้าถึงข้อมูลของตน (Access)
- แก้ไขข้อมูลที่ไม่ถูกต้อง (Rectification)
- ขอลบข้อมูล (Deletion / Right to be Forgotten)
- คัดค้านการประมวลผล (Objection)
- ถอนความยินยอม (Withdrawal) — ที่ /consent/preferences
- ขอข้อมูลรูปแบบที่อ่านได้ (Data Portability)
7. ความมั่นคงปลอดภัย
Moxzo ใช้ HTTPS, encryption at rest (Fernet), bcrypt สำหรับรหัสผ่าน, CSRF + rate limiting. ข้อมูลที่ sensitive (credentials, บทสนทนา, สรุปลูกค้า) ถูกเข้ารหัสในฐานข้อมูล
8. ติดต่อ DPO (Data Protection Officer)
คำขอใช้สิทธิ ติดต่อได้ที่ [email protected]
English Summary
Moxzo collects account info, usage logs, bot credentials (encrypted), uploaded documents, and chat content (encrypted) to provide the chatbot service. Sub-processors include Stripe, Resend, Sentry, OpenAI, and DeepSeek. Retention follows Thai law (7y for financial records). Users have full PDPA rights (access, rectification, deletion, objection, withdrawal, portability). Contact: [email protected].