Privacy Policy

Wonderme Media Technology Co., Ltd. ("Wonderme", "we", "our", or "us") is a legally registered company in Vietnam (Tax Identification Number: 0110232035), headquartered in Hanoi.

We operate the TapTicket ecosystem — a comprehensive event management and contactless ticketing platform comprising:

• A Cloud-based backend API server
• A Web Admin Dashboard for event organizers
• A native iOS application for event staff (the "TapTicket App")
• Proprietary IoT check-in hardware devices (the "TapTicket Scanner")

Wonderme acts as the Data Controller for personal data collected through the TapTicket platform. For event-specific data, the event organizer may act as a co-controller or data processor under a separate Data Processing Agreement.

Công ty TNHH Quản lý Truyền thông và Sự kiện Wonderme ("Wonderme", "chúng tôi") là doanh nghiệp được đăng ký hợp pháp tại Việt Nam (Mã số thuế: 0110232035), trụ sở tại Hà Nội.

Chúng tôi vận hành hệ sinh thái TapTicket — nền tảng quản lý sự kiện và soát vé không tiếp xúc bao gồm:

• Cloud backend API server
• Web Admin Dashboard dành cho ban tổ chức sự kiện
• Ứng dụng iOS dành cho nhân viên sự kiện (iOS App)
• Thiết bị IoT soát vé tự phát triển (TapTicket Scanner)

Wonderme là Bên Kiểm soát Dữ liệu đối với dữ liệu thu thập qua nền tảng TapTicket. Đối với dữ liệu riêng của từng sự kiện, ban tổ chức có thể cùng là bên kiểm soát hoặc xử lý dữ liệu theo Thỏa thuận Xử lý Dữ liệu riêng.

This Privacy Policy applies to all individuals who interact with TapTicket, including:

• Event Organizers: Businesses and individuals who use the Web Admin Dashboard to create and manage events
• Event Staff: Personnel using the TapTicket iOS App to scan tickets at event gates
• Event Attendees: Individuals whose tickets are processed through the TapTicket system
• Website Visitors: Anyone accessing wonder.io.vn or tapticket.online
• Device Users: Individuals whose NFC signals are read by TapTicket IoT hardware during check-in

This Policy does not cover:

• Third-party services or event registration platforms that may link to TapTicket
• Apple's handling of data within Apple Wallet (governed by Apple's Privacy Policy)
• Data collected by event organizers outside of TapTicket's platform

Chính sách này áp dụng cho tất cả các cá nhân tương tác với TapTicket, bao gồm: Ban tổ chức sự kiện, nhân viên soát vé, người tham dự sự kiện, khách truy cập website và người dùng có tín hiệu NFC được đọc bởi thiết bị IoT TapTicket. Chính sách này không áp dụng đối với Apple Wallet (tuân theo chính sách riêng của Apple) hay dữ liệu thu thập bởi ban tổ chức ngoài nền tảng TapTicket.

We collect personal data through different channels depending on how you interact with TapTicket. Below is a comprehensive breakdown:

3.1 Account & Registration Data

3.2 Event & Ticket Data

3.3 Technical & Usage Data

• IP address — Used for rate-limiting, anti-fraud, and abuse prevention; anonymized after 30 days
• Device type and OS version — For iOS App compatibility analytics
• App crash reports — Automatically generated when the app crashes; includes device model, iOS version, and crash stack trace
• Session tokens — JWT access tokens (15-minute expiry) and refresh tokens (30-day expiry)
• WebSocket connection data — Gate ID, device ID for real-time dashboard sync; no personal data transmitted
• IoT device heartbeats — Device ID, gate ID, WiFi status, cache count, uptime — no personal data

3.4 Data We Do NOT Collect

Chúng tôi thu thập dữ liệu cá nhân qua các kênh khác nhau tùy theo cách bạn tương tác với TapTicket, bao gồm: dữ liệu tài khoản (tên, email, mật khẩu hash bcrypt), dữ liệu vé và sự kiện (serial number, tên/email khách mời do ban tổ chức cung cấp, token NFC), và dữ liệu kỹ thuật (địa chỉ IP ẩn danh, crash report ứng dụng, session token JWT). Chúng tôi không thu thập dữ liệu sinh trắc học, vị trí địa lý chính xác, thông tin thẻ thanh toán hay dữ liệu nhạy cảm theo Điều 9 GDPR.

TapTicket uses Near Field Communication (NFC) technology as the primary contactless check-in mechanism. This section provides complete transparency about how NFC is used, what data is read, and how that data is protected — in full compliance with Apple's App Store Guidelines Section 5.1.1 and NFC Forum NDEF specifications.

4.2 Technical Architecture of NFC in TapTicket

TapTicket supports two NFC check-in patterns:

• Pattern A — Apple Wallet VAS (Value Added Services): The attendee adds a .pkpass file to Apple Wallet. The pass is cryptographically signed by Wonderme using an Apple Pass Type ID Certificate (RSA/SHA-256). When the attendee's iPhone is brought near the TapTicket hardware reader, the reader requests the pass data via the Apple VAS protocol. Apple Wallet displays a permission prompt — the attendee must explicitly consent before any data is transmitted.
• Pattern B — NDEF Text/URI Tag: The TapTicket iOS App reads an NDEF record from a compatible NFC tag (NTAG213/215/216 or ISO 14443-A compliant). The iOS system presents an NFC session sheet; the user taps to initiate. The app reads only the NDEF payload written by TapTicket.

4.3 NFC Data Lifecycle

4.4 User Consent for NFC

NFC permission is handled at two levels:

• iOS System Level: The TapTicket App declares NFCReaderUsageDescription in its Info.plist with the description: "TapTicket uses NFC to read event check-in tokens from TapTicket hardware devices and Apple Wallet passes at event gates." iOS requires user permission before the first NFC session.
• Apple Wallet Level: For VAS pass reading, Apple Wallet displays its own consent sheet to the attendee before transmitting pass data to the reader.

TapTicket sử dụng công nghệ NFC (Near Field Communication) để soát vé không tiếp xúc. Đây là khai báo đầy đủ về cách chúng tôi sử dụng NFC:

Chúng tôi sử dụng dữ liệu của bạn cho các mục đích sau: soát vé NFC không tiếp xúc, phát hành và giao vé kỹ thuật số, tạo vé Apple Wallet, quản lý tài khoản, bảo mật và phòng ngừa gian lận, chẩn đoán ổn định ứng dụng, và lập báo cáo sau sự kiện. Chúng tôi không sử dụng dữ liệu cho quảng cáo hay bán cho bên thứ ba.

We rely on the following legal bases under Vietnamese Law on Cybersecurity (No. 24/2018/QH14), Law on Protection of Consumer Rights, and GDPR principles:

• Contractual Necessity (Article 6(1)(b) GDPR equivalent): Processing account data, ticket data, and NFC check-in data is necessary to perform the TapTicket service you or your organization contracted for
• Legitimate Interests (Article 6(1)(f) GDPR equivalent): Processing crash reports, IP addresses (for security), and analytics is in our legitimate interest to maintain a secure, reliable platform. We have conducted balancing tests confirming your interests do not override ours for these purposes
• Legal Obligation: Retaining transaction logs for the legally required period under Vietnamese accounting and tax law
• Consent: For optional features such as marketing communications (where applicable)

Chúng tôi xử lý dữ liệu dựa trên các cơ sở pháp lý: thực hiện hợp đồng dịch vụ, lợi ích hợp pháp (bảo mật, chẩn đoán ứng dụng), nghĩa vụ pháp lý (lưu trữ log theo luật kế toán Việt Nam), và sự đồng ý của người dùng (cho các tính năng tùy chọn). Cơ sở pháp lý áp dụng theo Luật An ninh mạng số 24/2018/QH14 và Luật Bảo vệ Quyền lợi Người tiêu dùng.

We share personal data only in the following circumstances:

7.1 Service Providers (Sub-processors)

7.2 Event Organizers

Event organizers access check-in data for events they manage. This includes: attendee check-in status, scan timestamps, gate-level statistics, and post-event Excel reports. Organizers are bound by a Data Processing Agreement when using TapTicket.

7.3 Legal Disclosures

We may disclose personal data if required by: Vietnamese law enforcement with valid legal authority, court orders, or regulatory requirements. We will notify affected users to the extent permitted by law.

7.4 Business Transfers

In the event of a merger, acquisition, or sale of assets, personal data may be transferred to the acquiring entity, subject to the same privacy protections described in this Policy.

Chúng tôi chỉ chia sẻ dữ liệu trong các trường hợp: nhà cung cấp dịch vụ hạ tầng (cloud hosting, email delivery) theo Thỏa thuận Xử lý Dữ liệu, ban tổ chức sự kiện (dữ liệu check-in của sự kiện họ quản lý), nghĩa vụ pháp lý (yêu cầu từ cơ quan có thẩm quyền), và chuyển giao doanh nghiệp (nếu có). Chúng tôi không bán, cho thuê hay giao dịch dữ liệu cá nhân vì mục đích thương mại.

TapTicket primarily stores and processes data within Vietnam. However, some data may be processed internationally in the following scenarios:

• Cloud infrastructure: Our cloud provider may store backup data in geographically redundant locations. All transfers are governed by Data Processing Agreements with Standard Contractual Clauses
• Apple PassKit: When generating Apple Wallet passes, requests are made to Apple's servers in the United States. Apple's handling is governed by Apple's Privacy Policy and the Apple Developer Program License Agreement
• Email delivery: Outbound emails may be routed through international email infrastructure. All connections use TLS encryption in transit

Where data is transferred outside Vietnam, we ensure appropriate safeguards are in place consistent with Vietnamese cybersecurity law and internationally recognized data protection standards.

Dữ liệu chủ yếu được lưu trữ tại Việt Nam. Một số dữ liệu có thể được xử lý quốc tế trong các trường hợp: sao lưu hạ tầng cloud (theo Thỏa thuận Xử lý Dữ liệu), tạo vé Apple Wallet (Apple servers tại Hoa Kỳ, theo chính sách Apple), và giao vé qua email. Mọi chuyển giao quốc tế đều sử dụng mã hóa TLS và tuân thủ luật an ninh mạng Việt Nam.

We retain personal data only for as long as necessary to fulfill the purpose for which it was collected, or as required by law. Our retention schedule:

Lịch lưu trữ dữ liệu: Log soát vé NFC: 90 ngày sau sự kiện → tự động xóa. Xóa tài khoản: trong vòng 30 ngày sau yêu cầu. Dữ liệu tài khoản: trong thời gian hoạt động + 12 tháng. Crash report: 12 tháng. Token xác thực: access token 15 phút, refresh token 30 ngày. Hồ sơ pháp lý theo Luật Kế toán: 5 năm.

Wonderme implements a multi-layered security architecture ("Defense in Depth") to protect personal data:

Breach Notification

In the event of a personal data breach that poses a risk to individuals, Wonderme will notify affected users within 72 hours of becoming aware of the breach, consistent with GDPR Article 33 principles and Vietnam's cybersecurity regulations.

Wonderme triển khai kiến trúc bảo mật đa lớp (7 lớp) bao gồm: HTTPS/TLS 1.2+, JWT + bcrypt, RBAC tại tầng API, ký số PKI Apple, ACID transaction chống double-scan, token thiết bị IoT thu hồi được, và Helmet.js chống tấn công web. Trong trường hợp có sự cố rò rỉ dữ liệu, chúng tôi sẽ thông báo cho người dùng bị ảnh hưởng trong vòng 72 giờ.

You have the following rights regarding your personal data. To exercise any of these rights, email tech@wonder.io.vn with a clear description of your request. We will respond within 30 days.

NFC-Specific Controls

• Revoke NFC permission: iPhone Settings → Privacy & Security → NFC → TapTicket → toggle off. Alternative check-in methods remain available.
• Remove Apple Wallet pass: Open Apple Wallet → tap the TapTicket pass → swipe up → tap "Remove". This does not invalidate the ticket; QR code check-in remains available.

Bạn có các quyền đối với dữ liệu cá nhân: Truy cập (nhận bản sao dữ liệu), Chỉnh sửa (sửa dữ liệu không chính xác), Xóa (yêu cầu xóa tài khoản trong 30 ngày), Di chuyển (nhận dữ liệu định dạng JSON/CSV), Phản đối (đối với xử lý dựa trên lợi ích hợp pháp), và Hạn chế. Để thu hồi quyền NFC: Cài đặt iPhone → Quyền riêng tư & Bảo mật → NFC → TapTicket → tắt. Gửi yêu cầu quyền đến tech@wonder.io.vn, phản hồi trong 30 ngày.

The Wonderme website (wonder.io.vn) uses minimal cookies and tracking technologies:

We do not use third-party advertising cookies, cross-site tracking pixels, Google Analytics (on the landing pages), or any persistent behavioral tracking technology. The TapTicket iOS App does not use any tracking SDKs.

Website Wonderme sử dụng tối thiểu cookie: session token (xác thực), lang_pref (ngôn ngữ), theme_pref (giao diện). Chúng tôi không sử dụng cookie quảng cáo bên thứ ba, tracking pixel, Google Analytics hay bất kỳ SDK theo dõi hành vi nào trong ứng dụng iOS.

TapTicket is a business-to-business (B2B) event management platform. Admin accounts and Staff accounts require the user to be at least 18 years of age.

Event attendees who receive tickets may be of any age, as tickets are issued on behalf of the event organizer. We do not knowingly collect personal data directly from children under 13 years of age. If an event organizer provides attendee data for minors, that organizer is responsible for obtaining appropriate parental consent.

If you believe we have inadvertently collected personal data from a child under 13, please contact tech@wonder.io.vn immediately and we will delete that data promptly.

TapTicket là nền tảng B2B. Tài khoản quản trị và nhân viên yêu cầu người dùng đủ 18 tuổi trở lên. Đối với người tham dự sự kiện, ban tổ chức chịu trách nhiệm đối với dữ liệu của người dưới 13 tuổi. Nếu phát hiện có dữ liệu trẻ em được thu thập nhầm, liên hệ tech@wonder.io.vn để xóa ngay.

The TapTicket iOS App is designed and operated in full compliance with Apple's platform requirements:

• App Store Guidelines 5.1.1 (Data Collection and Storage): All data collection is disclosed in this Privacy Policy; users are not required to share personal data beyond what is necessary for the service
• NFC Entitlement: TapTicket reads NFC tags exclusively from TapTicket proprietary hardware using the Core NFC framework (NFCReaderUsageDescription declared in Info.plist)
• PassKit / Apple Wallet: Apple Wallet passes are issued under a valid Apple Pass Type ID Certificate. TapTicket does not simulate, emulate, or reproduce the Apple Wallet user interface on any third-party platform
• App Tracking Transparency: TapTicket does not use IDFA or any cross-app tracking. No ATT prompt is required or displayed
• No Apple Trademarks: Wonderme does not use Apple's name, logo, or design elements in any way that implies endorsement or affiliation
• Privacy Nutrition Label: TapTicket's App Store Privacy Nutrition Label accurately reflects the data types described in this Policy

Ứng dụng iOS TapTicket tuân thủ đầy đủ các yêu cầu của Apple: App Store Guidelines 5.1.1, NFC Entitlement (chỉ đọc NFC từ thiết bị TapTicket), PassKit (vé Apple Wallet ký bằng Apple Pass Type ID Certificate hợp lệ), không sử dụng IDFA hay cross-app tracking, và không dùng nhãn hiệu Apple theo cách gợi ý quan hệ đối tác.

TapTicket integrates with the following third-party services, each governed by their own privacy policies:

• Google Fonts: Used for typography on the Wonderme website. Google may receive the visitor's IP address. Governed by Google Privacy Policy
• Apple PassKit: Used for Apple Wallet pass signing and distribution. Governed by Apple Privacy Policy
• Cloud Infrastructure Provider: Used for server hosting, database storage, and data backups. Governed by the provider's privacy and security policies

Wonderme is not responsible for the privacy practices of third-party services. We encourage users to review the privacy policies of any external service they interact with.

TapTicket tích hợp với: Google Fonts (typography, theo chính sách Google), Apple PassKit (vé Apple Wallet, theo chính sách Apple), và nhà cung cấp hạ tầng cloud (hosting, database). Wonderme không chịu trách nhiệm về thực hành riêng tư của các dịch vụ bên thứ ba.

We may update this Privacy Policy periodically to reflect changes in our practices, technology, legal requirements, or business operations.

When we make material changes, we will:

• Update the "Last Updated" date at the top of this page
• Send an email notification to all registered account holders
• Display a prominent in-app notification in the TapTicket iOS App
• For changes to NFC data practices specifically, we will request explicit re-consent where required by Apple Guidelines or applicable law

For non-material changes (e.g., clarifications, formatting), only the date will be updated. We encourage you to review this Policy periodically. Continued use of TapTicket after changes are notified constitutes acceptance of the updated Policy.

Previous versions of this Policy are available upon request at tech@wonder.io.vn.

Chúng tôi có thể cập nhật Chính sách này định kỳ. Khi có thay đổi trọng yếu, chúng tôi sẽ: cập nhật ngày "Last Updated", gửi email thông báo đến tất cả tài khoản đăng ký, hiển thị thông báo trong ứng dụng iOS. Đối với thay đổi liên quan đến dữ liệu NFC, chúng tôi sẽ yêu cầu sự đồng ý lại theo yêu cầu của Apple và pháp luật.

For privacy-related questions, data requests, or to lodge a complaint, contact our Privacy Team:

Complaints

If you are dissatisfied with our response to a privacy complaint, you have the right to escalate to:

• Vietnam: Department of Cybersecurity and Hi-tech Crime Prevention (A05), Ministry of Public Security
• EU residents: Your local Data Protection Authority (under GDPR Article 77)

We request that you first contact us directly at tech@wonder.io.vn to allow us to resolve the issue before escalating.

Mọi câu hỏi về quyền riêng tư, yêu cầu dữ liệu hay khiếu nại, liên hệ:

Nếu không hài lòng với phản hồi của chúng tôi, bạn có quyền khiếu nại lên Cục An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao (A05), Bộ Công an.