Việc bảo vệ thông tin cá nhân của khách hàng hiện tại và khách hàng tiềm năng là một phần quan trọng trong quản trị rủi ro và xây dựng uy tín doanh nghiệp, đặc biệt trong thời đại số hóa và thương mại điện tử. Dưới đây là các cách cụ thể mà TVTS áp dụng để bảo vệ thông tin cá nhân của khách hàng:

🔐 1. Thu thập thông tin có mục đích rõ ràng

• Chỉ thu thập thông tin cần thiết: Tránh thu thập dư thừa (VD: không yêu cầu CMND trừ khi thật sự cần).

• Giải thích lý do: Cho khách hàng biết lý do thu thập, sẽ dùng vào việc gì, trong bao lâu.

---

🧾 2. Thông báo và xin sự đồng ý rõ ràng

• Chính sách bảo mật (Privacy Policy): Đảm bảo dễ hiểu, dễ truy cập trên website/app.

• Checkbox đồng ý: Trước khi khách hàng gửi form, luôn có hộp kiểm “Tôi đồng ý với chính sách bảo mật”.

---

🧱 3. Lưu trữ và bảo mật hệ thống

• Mã hóa dữ liệu (encryption): Bảo mật thông tin lưu trữ (cả khi lưu trên máy chủ lẫn khi truyền tải).

• Tường lửa và chống xâm nhập: Sử dụng các giải pháp bảo mật mạnh như tường lửa, hệ thống chống virus/malware.

• Backup định kỳ: Phòng trường hợp bị tấn công hay mất dữ liệu.

---

🔑 4. Quản lý quyền truy cập nội bộ

• Phân quyền người dùng: Chỉ người được phân quyền mới có thể truy cập dữ liệu khách hàng.

• Theo dõi nhật ký truy cập (audit logs): Ghi lại ai đã truy cập, lúc nào, để kiểm soát rò rỉ nội bộ.

---

🧪 5. Kiểm tra và đánh giá bảo mật thường xuyên

• Kiểm thử bảo mật định kỳ (Penetration Testing): Thuê chuyên gia kiểm tra các lỗ hổng tiềm ẩn.

• Cập nhật phần mềm: Hệ thống luôn được cập nhật để vá các lỗ hổng bảo mật mới nhất.

---

🤝 6. Đào tạo nhân viên

• Huấn luyện về bảo mật thông tin: Đặc biệt là bộ phận CSKH, marketing, sale.

• Chính sách xử lý sự cố: Khi có rò rỉ, cần có quy trình cụ thể để xử lý và thông báo đến khách hàng.

---

📤 7. Quản lý dữ liệu khách hàng tiềm năng (lead)

• Email marketing tuân thủ GDPR/PDPA: Không gửi spam, có nút “Hủy đăng ký”.

• Không chia sẻ dữ liệu cho bên thứ ba nếu chưa được đồng ý.

• Hạn chế lưu trữ dài hạn: Xóa dữ liệu sau một thời gian nếu khách hàng không tương tác.

---

📜 8. Tuân thủ pháp luật & chứng chỉ bảo mật

• Luật Bảo vệ dữ liệu cá nhân tại Việt Nam (có hiệu lực từ 2023): Tuân thủ quy định nghiêm ngặt.

• Chứng chỉ bảo mật như ISO/IEC 27001, PCI DSS: Tăng độ tin cậy và là lợi thế cạnh tranh.

QUY TRÌNH BẢO MẬT THÔNG TIN KHÁCH HÀNG

Bước 1: Xác định thông tin cần bảo vệ

• Phân loại dữ liệu: Họ tên, số điện thoại, email, địa chỉ, thông tin tài chính, lịch sử giao dịch…

• Đánh giá mức độ nhạy cảm của từng loại dữ liệu.

📌 Mẹo: Chỉ nên lưu những dữ liệu bạn thực sự cần — càng ít dữ liệu, rủi ro càng thấp.

---

Bước 2: Thông báo và xin sự đồng ý

• Cung cấp chính sách bảo mật rõ ràng trên website/app.

• Khi khách hàng điền form, phải có checkbox xác nhận đã đọc và đồng ý với chính sách.

📍Lưu ý: Nếu sử dụng dữ liệu cho remarketing, cần thông báo rõ mục đích và cho phép khách từ chối.

---

Bước 3: Lưu trữ và bảo vệ dữ liệu

• Mã hóa dữ liệu khi lưu trữ và khi truyền tải (SSL/HTTPS, AES 256-bit…).

• Sử dụng tường lửa, phần mềm chống mã độc, bảo mật server/cloud.

🛡️ Ví dụ: Dữ liệu khách hàng lưu trên Google Sheets cần hạn chế chia sẻ public và bật xác thực hai lớp (2FA).

---

Bước 4: Phân quyền và kiểm soát truy cập

• Mỗi nhân viên chỉ được truy cập dữ liệu phù hợp với vai trò.

• Ghi nhật ký (log) các hành động truy cập để kiểm tra khi cần.

🔒 Tip: Không nên chia sẻ tài khoản chung cho nhiều nhân viên.

---

Bước 5: Sao lưu & khôi phục dữ liệu

• Backup định kỳ (hàng ngày/tuần tùy mức độ quan trọng).

• Lưu trữ bản backup ở nơi an toàn, có thể offline hoặc đám mây bảo mật cao.

• Có kế hoạch phục hồi sau sự cố (Disaster Recovery Plan).

---

Bước 6: Đào tạo nội bộ

• Đào tạo định kỳ về nhận diện email giả mạo (phishing), hành vi truy cập sai quy định.

• Tạo văn hóa “bảo mật là trách nhiệm chung” trong tổ chức.

---

Bước 7: Kiểm tra, đánh giá và cập nhật

• Kiểm thử bảo mật hệ thống mỗi 6–12 tháng (hoặc sau mỗi lần nâng cấp).

• Đánh giá lỗ hổng và thực hiện cập nhật phần mềm/phần cứng định kỳ.

---

Bước 8: Ứng phó khi có rò rỉ dữ liệu

• Có quy trình phản ứng nhanh: cách ly hệ thống, điều tra nguyên nhân, thông báo cho khách hàng, khắc phục hậu quả.

• Lưu trữ hồ sơ xử lý để phục vụ kiểm toán nếu cần.