Chính sách riêng tư.

ThinkPing được xây với triết lý thu thập tối thiểu. Chúng tôi chỉ giữ những gì cần để dịch vụ hoạt động — không hơn.

1. Chúng tôi thu thập gì?

Bắt buộc:

• Username (mày chọn) — để hiển thị khi gởi ping
• Token hash — verify khi login (plaintext KHÔNG lưu)
• Timezone — cho Sunrise mode đúng giờ mày

Tùy chọn:

• Email — chỉ dùng để khôi phục token. Không spam.
• Display name — tên hiển thị mày chọn
• Push subscription — nếu mày đồng ý nhận notification

Content mày tạo:

• Pings (sender, target, note nếu có, timestamp)
• Circles (tên, thành viên, settings)
• Safety actions (block/mute/report)

Tự động:

• IP address — chỉ cho rate limiting login, xóa sau 15 phút
• User agent — để hỗ trợ push notification across devices
• Timestamps — created_at của mọi action

2. Chúng tôi KHÔNG thu thập

• Số điện thoại
• Địa chỉ thật
• Thông tin tài chính
• Tracking cross-site (không có Google Analytics, Facebook Pixel, v.v.)
• Vị trí GPS
• Danh bạ điện thoại

3. Dùng data để làm gì?

• Vận hành dịch vụ (gởi ping, hiển thị log, gởi notification)
• Khôi phục token khi mày request (qua email)
• Phân tích tổng hợp (tổng số user, pair retention D30) — anonymized, không nhìn content cá nhân
• Phản hồi khi mày liên hệ support

4. Chia sẻ với bên thứ 3

ThinkPing dùng 2 dịch vụ bên thứ 3 để vận hành:

• Supabase (database + auth) — hosting ở Singapore. Privacy policy.
• Resend (email service) — gởi email khôi phục token. Privacy policy.

Không chia sẻ với ai khác. Không bán data. Không cho advertiser. Không có ads.

5. Quyền của mày

• Xem data — Settings → Xuất data của bạn (JSON)
• Xóa account — Settings → Xóa account. 30 ngày grace period, rồi xóa vĩnh viễn.
• Sửa data — username không đổi được (design choice), display name + email đổi được
• Block/mute — first-class feature trong app

6. Bảo mật

• Token hash bằng SHA-256, salt per user
• Row-Level Security (RLS) trên mọi table — user A không đọc được data user B, kể cả bug
• HTTPS everywhere (TLS 1.2+)
• Rate limiting: login 5/15min, recovery 3/hour
• Constant-time token verify — chống timing attack

Tuy nhiên, không có hệ thống nào 100% an toàn. Nếu có breach, tao sẽ email báo mày trong 72 giờ.

7. Cookie và localStorage

ThinkPing KHÔNG dùng cookies tracking. Dùng localStorage để lưu:

• JWT session (đăng nhập state)
• Token key (cho auto-login)
• User preferences

Không có tracking cookies. Không có third-party cookies.

8. Trẻ em

ThinkPing không dành cho trẻ dưới 13 tuổi. Nếu mày dưới 13, xin đừng dùng dịch vụ.

9. GDPR / user EU

Nếu mày ở EU, mày có đủ quyền GDPR: xem, sửa, xóa, portability (export), phản đối processing. Email hello@thinkping.app để thực hiện.

10. Thay đổi chính sách

Khi có thay đổi lớn, tao sẽ email báo (nếu mày có email) và update ngày trên trang này.

11. Liên hệ

Email: hello@thinkping.app