Logo Omistack

Omistack

Chính sách sử dụng

Cập nhật lần cuối: 03/07/2025

1. Giới thiệu

Trang chính sách này mô tả cách hệ thống CRM của bạn (sau đây gọi tắt là “Hệ thống” hoặc “CRM”) tích hợp và xử lý dữ liệu khi kết nối với các kênh bên thứ ba (ví dụ: Facebook, Zalo, TikTok, Instagram) và tích hợp với dịch vụ/đối tác như Omistack (https://omistack.com/). Mục tiêu: đảm bảo minh bạch cho khách hàng, người dùng cuối và tuân thủ các quy định bảo vệ dữ liệu có liên quan.

2. Phạm vi áp dụng

Chính sách này áp dụng cho:

  • Người dùng quản trị, nhân viên và khách hàng sử dụng CRM.
  • Dữ liệu được thu thập, đồng bộ hoặc lưu trữ từ kênh mạng xã hội, nền tảng nhắn tin, nền tảng quảng cáo, và các tích hợp bên thứ ba (Omistack, API gateway, v.v.).
  • Tính năng: inbox đa kênh, đồng bộ contact, lịch sử tương tác, ghi chú, automation, báo cáo, và export dữ liệu.

3. Nguyên tắc chung

  • Minh bạch: Trước khi kết nối kênh nào, CRM thông báo loại dữ liệu sẽ truy cập, mục đích sử dụng và thời hạn lưu trữ.
  • Hạn chế mục đích: Dữ liệu chỉ dùng cho mục đích đã thông báo (chăm sóc khách hàng, phân tích, đo lường chiến dịch, v.v.).
  • Tối thiểu dữ liệu: Chỉ thu thập và lưu những trường cần thiết để cung cấp chức năng.
  • Bảo mật: Áp dụng biện pháp bảo mật kỹ thuật và tổ chức phù hợp.
  • Tuân thủ pháp luật & nền tảng: Tuân thủ luật bảo vệ dữ liệu áp dụng (ví dụ: GDPR nếu cần, luật nội địa) và chính sách nhà cung cấp kênh (Facebook/Meta, Zalo, TikTok, Instagram).

4. Dữ liệu thu thập & cách sử dụng

Loại dữ liệu có thể thu thập khi tích hợp kênh:

  • Thông tin liên hệ: tên, số điện thoại, email, ID kênh (chat ID).
  • Nội dung tương tác: tin nhắn, hình ảnh/đa phương tiện gửi qua kênh (lưu trữ bản sao nếu cần để hỗ trợ).
  • Metadata: thời gian tương tác, kênh, trạng thái tin nhắn (đã gửi/đã nhận), nguồn chiến dịch (nếu có).
  • Dữ liệu phân tích: chỉ số tương tác, điểm lead, lịch sử chăm sóc.

Mục đích sử dụng:

  • Tiếp nhận & trả lời tin nhắn khách hàng.
  • Đồng bộ contact và lịch sử tương tác cho đội bán & CS.
  • Tự động hóa (auto-assign, chat-bots, sequence).
  • Phân tích và báo cáo hiệu quả kênh.
  • Lưu trữ chứng từ tương tác phục vụ khiếu nại / chất lượng dịch vụ.

5. Kết nối với kênh bên thứ ba — nguyên tắc kỹ thuật

  • Xác thực & ủy quyền: CRM sử dụng chuẩn ủy quyền do nền tảng cung cấp (OAuth2 hoặc token do nền tảng cấp). Người dùng/khách hàng phải cấp quyền rõ ràng khi kết nối tài khoản.
  • Quyền truy cập (scopes): CRM chỉ yêu cầu scope/permission tối thiểu cần thiết (ví dụ quyền đọc tin nhắn, quản lý trang, v.v.). Mô tả scope và mục đích hiển thị cho người cấp quyền.
  • Lưu trữ token: Token truy cập (access token) và refresh token được bảo vệ (mã hóa khi lưu và giới hạn truy cập nội bộ). Token sẽ được làm mới hoặc thu hồi khi bị nghi ngờ rò rỉ.
  • Giới hạn & tôn trọng API: CRM tuân thủ giới hạn tần suất (rate limits) và quy định của từng nền tảng; thực hiện caching và backoff khi bị rate-limited.
  • Đồng bộ một chiều/hai chiều: Hệ thống sẽ nêu rõ khi đồng bộ là một chiều (kênh → CRM) hay hai chiều (CRM có thể gửi trả lời / cập nhật trạng thái trên kênh).
  • Hành vi khi mất kết nối: Khi token hết hạn hoặc quyền bị thu hồi, CRM ngưng đồng bộ và thông báo cho quản trị viên; cung cấp hướng dẫn tái kết nối.

6. Riêng với từng nền tảng

  • Facebook / Instagram (Meta): yêu cầu OAuth thông qua tài khoản Meta; có thể cần quyền quản lý trang, đọc tin nhắn, đọc profile, quản lý quảng cáo nếu cần. Tuân thủ Platform Policy của Meta, không lưu trữ thông tin quá mức cần thiết, tôn trọng quy định về messenger/webhook.
  • Zalo: sử dụng Zalo Official Account API; yêu cầu cấp quyền tương ứng để đọc/gửi tin nhắn, đồng bộ contact; tuân thủ chính sách Zalo và pháp luật Việt Nam.
  • TikTok: tích hợp thông qua API TikTok for Business / Messaging (nếu có); yêu cầu quyền đọc inbox hoặc quản lý nội dung ads tùy tính năng.
  • Các kênh khác: (như Line, WhatsApp Business, Viber…) — tích hợp theo API/điều khoản tương ứng.

7. Tích hợp với Omistack và đối tác bên thứ ba

  • Khi CRM tích hợp Omistack (hoặc dùng Omistack như middleware), CRM sẽ chia sẻ dữ liệu cần thiết cho chức năng được ủy quyền (ví dụ đồng bộ hàng loạt, routing, automation).
  • Dữ liệu chỉ chuyển tới Omistack theo thỏa thuận hợp đồng: mục đích xử lý, thời hạn lưu trữ, bảo mật, trách nhiệm pháp lý.
  • Omistack (đối tác) có trách nhiệm bảo mật và chỉ xử lý dữ liệu theo hướng dẫn CRM/khách hàng. CRM có thể công bố tên đối tác tích hợp và liên kết tới chính sách bảo mật đối tác.

8. Bảo mật & bảo vệ dữ liệu

  • Mã hóa: Dữ liệu nhạy cảm (token, mật khẩu, PII quan trọng) được mã hóa khi lưu và khi truyền (TLS).
  • Kiểm soát truy cập: Phân quyền theo vai trò (RBAC). Ghi nhật ký (audit log) mọi thay đổi cấu hình liên quan kênh/credentials.
  • Sao lưu & khôi phục: Sao lưu định kỳ, kế hoạch khôi phục thảm họa.
  • Kiểm thử & đánh giá: Thực hiện kiểm thử bảo mật định kỳ (pen test), kiểm tra lỗ hổng và cập nhật vá bảo mật.
  • Quản lý sự cố: Quy trình phát hiện và thông báo vi phạm dữ liệu; thông báo tới khách hàng và cơ quan chức năng theo luật định.

9. Lưu trữ, xóa dữ liệu & quyền người dùng

  • Thời hạn lưu trữ: CRM lưu trữ dữ liệu tương tác trong khoảng thời gian được cấu hình (mặc định X tháng/năm — tùy cấu hình khách hàng).
  • Xóa dữ liệu: Khách hàng/Người dùng có quyền yêu cầu xóa dữ liệu liên quan đến họ; CRM thực hiện xóa theo chính sách và log xóa được lưu để chứng minh tuân thủ.
  • Export dữ liệu: Khách hàng có thể xuất dữ liệu (CSV/JSON) cho mục đích porting.
  • Yêu cầu quyền riêng tư: CRM hỗ trợ các yêu cầu theo quyền dữ liệu (truy cập, chỉnh sửa, xóa, hạn chế xử lý) tuỳ theo luật áp dụng (ví dụ: GDPR style requests nếu CRM phục vụ EU).

10. Trách nhiệm của khách hàng / người dùng

  • Cung cấp thông tin chính xác khi kết nối tài khoản kênh.
  • Chịu trách nhiệm tuân thủ chính sách nền tảng kênh (ví dụ: nội dung quảng cáo, chính sách nhắn tin).
  • Không chia sẻ credentials không an toàn (ví dụ gửi token công khai).
  • Nếu sử dụng tích hợp bot/automation, đảm bảo tuân thủ quy định thông báo với người dùng cuối (opt-in/opt-out) khi cần.

11. Tuân thủ pháp lý & chính sách nền tảng

CRM cam kết tuân thủ luật bảo vệ dữ liệu áp dụng tại khu vực hoạt động và các chính sách của nền tảng tích hợp.

CRM không chịu trách nhiệm nếu khách hàng sử dụng dữ liệu tích hợp vi phạm điều khoản của nền tảng hoặc luật địa phương — khách hàng chịu trách nhiệm về nội dung/chiến dịch họ thực hiện qua kênh.

12. Cập nhật chính sách & thông báo

Chính sách có thể được cập nhật khi có thay đổi kỹ thuật, pháp lý hoặc chính sách đối tác. Mỗi lần cập nhật sẽ có phiên bản mới và ngày hiệu lực; nếu thay đổi lớn ảnh hưởng quyền lợi người dùng, CRM sẽ thông báo trước.

13. Mẫu thông điệp xin quyền (consent) khi kết nối kênh

Ví dụ ngắn hiển thị trước khi bắt đầu OAuth/ kết nối: “CRM sẽ truy cập [tên quyền, ví dụ: tin nhắn trang, danh sách contact] từ tài khoản [Facebook/Instagram/Zalo]. Dữ liệu này được dùng để: (1) hiển thị inbox; (2) lưu lịch sử tương tác; (3) gửi phản hồi khi được phép. Bạn có thể thu hồi quyền bất kỳ lúc nào trong cài đặt.”

14. Danh sách kiểm tra kỹ thuật (implementation checklist)

  • Hiển thị scope & mục đích cho người cấp quyền trước OAuth.
  • Lưu token an toàn (mã hóa).
  • Ghi audit log cho mọi hành động liên quan token / kết nối.
  • Cơ chế refresh token & xử lý thu hồi quyền.
  • Cơ chế export / delete dữ liệu theo yêu cầu.
  • Tài liệu hợp đồng & DPA (Data Processing Agreement) với Omistack và các đối tác xử lý bên thứ ba.
  • Đăng ký và tuân thủ chính sách nền tảng (vd. Facebook App Review nếu dùng scope cần phê duyệt).

15. Liên hệ & khiếu nại

Nếu bạn có câu hỏi hoặc muốn yêu cầu xóa/downgrade data, liên hệ: privacy@[your-company].com hoặc [điền đường dẫn tới form yêu cầu]. Trong trường hợp muốn khiếu nại về xử lý dữ liệu, quý khách có quyền liên hệ cơ quan bảo vệ dữ liệu địa phương.

Omistack • © 2025