Chính sách bảo mật là gì? Gồm những gì? Cách tạo như thế nào?

Tạo và thực thi chính sách bảo mật thông tin khách hàng không phải là nhiệm vụ dễ dàng, nhưng các mẹo dưới đây sẽ giúp bạn hiểu chính xác chính sách bảo mật thương mại điện tử là gì, tại sao bạn cần tạo chính sách, chính sách bảo mật của bạn nên bao gồm những gì, thu thập dữ liệu nào và cách tuân thủ với các hướng dẫn quốc tế.

Chính sách bảo mật là gì?

Chính sách bảo mật là một tuyên bố giải thích cách thức công ty thu thập, xử lý, lưu trữ, chia sẻ, bảo vệ thông tin cá  nhân của khách hàng và các thông tin nhạy cảm được thu thập thông qua các tương tác của khách hàng với trang web.

Mỗi trang web tương tác và thu thập dữ liệu về khách hàng của họ bằng cách này hay cách khác, nhưng điều này thậm chí còn được áp dụng nhiều hơn khi nói đến một cửa hàng thương mại điện tử. Các trang web thương mại điện tử thường thu thập dữ liệu cá nhân như tên, địa chỉ email, địa chỉ IP, phiên hoạt động và chi tiết thanh toán.

Do đó, chính sách quyền riêng tư rất quan trọng vì nó không chỉ được coi là dấu hiệu của sự tín nhiệm và tin cậy mà còn đảm bảo rằng chủ sở hữu trang web được bảo vệ cùng với khách hàng của họ, đồng thời tuân thủ các nghĩa vụ pháp lý của họ.

Về cốt lõi, chính sách quyền riêng tư phục vụ bốn chức năng cơ bản sau

  • Thông báo cho người dùng về việc thu thập dữ liệu riêng tư và cách thức mà nó sử dụng.
  • Cung cấp cho người dùng lựa chọn từ chối thu thập dữ liệu.
  • Cho phép người dùng truy cập dữ liệu được thu thập hoặc tranh luận về tính chính xác của nó.
  • Đảm bảo với người dùng rằng dữ liệu của họ an toàn và bảo mật.

Đối với khách truy cập và khách hàng của trang web, chính sách quyền riêng tư đảm bảo rằng dữ liệu riêng tư của họ sẽ không được cung cấp cho bên thứ ba hoặc phục vụ cho các mục đích không chính đáng.

Thuật ngữ “chính sách quyền riêng tư” có lẽ sẽ gợi lên hình ảnh của các liên kết màu xám ở cuối trang web. Sự thật thì điều này dễ bị bỏ qua bởi hầu hết khách hàng truy cập trang web, nhưng nó là một tài liệu pháp lý cực kỳ quan trọng đối với bất kỳ trang web nào – đặc biệt là đối với một cửa hàng thương mại điện tử. Nó không chỉ trấn an khách hàng rằng dữ liệu riêng tư của họ sẽ được bảo vệ mà còn giúp bạn đáp ứng các yêu cầu quy định.

Vì chính sách quyền riêng tư là một tài liệu pháp lý nên điều này có thể gây khó hiểu cho các nhà bán lẻ và gây nên những nhầm lẫn khi phải tự tạo chính sách bảo mật . Bạn phải đánh giá cách bạn xử lý dữ liệu khách hàng, đồng thời đảm bảo rằng bạn đang thực hiện đúng theo quy định của chính phủ. Thêm vào đó, bạn phải truyền đạt chính sách của mình một cách rõ ràng và minh bạch mà khách hàng có thể hiểu.

>> Xem thêm: Luật Bảo vệ dữ liệu chung (GDPR): Chúng ta đã học được gì? Hướng đi nào cho luật bảo vệ dữ liệu?

Tại sao bạn cần tạo chính sách bảo mật thông tin khách hàng?

Trước khi chúng ta đi vào tìm hiểu cách xây dựng chính sách bảo mật, trước tiên hãy tìm hiểu về lý do tại sao phải cần có chính sách bảo mật. Dưới đây là những lý do tại sao chính sách bảo mật là cần thiết cho các doanh nghiệp thương mại điện tử.

Đó là yêu cầu của pháp luật

Trước hết, chính sách quyền riêng tư được pháp luật tại Hoa Kỳ, Canada, Liên minh Châu Âu, Úc và các khu vực pháp lý khác trên toàn thế giới yêu cầu.

Ngoài ra, chủ cửa hàng thương mại điện tử cần phải hạn chế rủi ro cũng như quản lý kỳ vọng của khách hàng để tránh mọi hiểu lầm.

Tạo dựng niềm tin với khách hàng

Là một cửa hàng thương mại điện tử, chắc chắn bạn sẽ thu thập thông tin cá nhân từ khách hàng và khách truy cập vào trang web như tên, tuổi, địa chỉ, email và chi tiết thẻ tín dụng. Vì những lý do rõ ràng, nhiều người sẽ muốn biết rằng thông tin này nằm trong tay bạn là an toàn nên chính sách bảo mật được cập nhật trên trang web sẽ thể hiện cam kết của bạn đối với bảo mật đồng thời giúp tạo niềm tin cho trang web và doanh nghiệp của bạn.

Bạn cần một chính sách bảo mật trang web để sử dụng các ứng dụng hoặc dịch vụ nhất định

Chính sách bảo mật không chỉ quan trọng để đảm bảo rằng bạn có được lòng tin của khách hàng và đáp ứng các yêu cầu pháp lý mà nhiều ứng dụng và dịch vụ của bên thứ ba cũng yêu cầu điều đó – như Google. Để truy cập một số dịch vụ và công cụ nhất định như AdSense, Google Analytics, v.v., Google yêu cầu bạn phải có chính sách bảo mật toàn diện được cập nhật trên trang web của mình.

Ví dụ, theo điều khoản sử dụng Google Analytics:

Bạn phải đăng chính sách quyền riêng tư và chính sách quyền riêng tư phải cung cấp thông báo về việc bạn sử dụng cookie để thu thập dữ liệu lưu lượng truy cập và bạn không được phá vỡ bất kỳ tính năng bảo mật nào (ví dụ: từ chối) là một phần của dịch vụ.

Chính sách bảo mật trang web mang lại cho bạn sự bảo vệ hợp pháp

Cuối cùng, một chính sách bảo mật cũng đảm bảo các lợi ích của bạn như bảo vệ bạn khỏi các vụ kiện từ khách hàng cũng như các doanh nghiệp khác. Nếu trang web thương mại điện tử của bạn bị kiện, bạn hoàn toàn có thể chứng minh rằng bạn đã áp dụng chính sách quyền riêng tư một cách công khai, rõ ràng.

>> Xem thêm: Bảo mật website – 5 Gợi ý giúp webite của bạn An Toàn Tuyệt Đối

Chính sách bảo mật website của bạn nên bao gồm những gì?

Chính sách bảo mật hiệu quả sẽ xác định rõ ràng các loại dữ liệu được thu thập thông qua cửa hàng của bạn, cách thức ghi lại, lưu trữ và xóa. Nhưng cũng sẽ có những yếu tố nhất định cho cửa hàng thương mại điện tử của riêng bạn để xác định những biện pháp bảo vệ quyền riêng tư cụ thể mà bạn cần có cho chính sách của mình.

Chi tiết về chính sách của bạn sẽ phụ thuộc vào những thứ như cách bạn quảng cáo, sản phẩm bạn bán, khách hàng của bạn là ai, cách bạn thu thập thông tin thanh toán và cách bộ xử lý thanh toán và các bên thứ ba khác liên quan đến trang web và dữ liệu của bạn.

Ví dụ: trang thanh toán Gap.com yêu cầu người mua hàng không đăng ký khách hàng của Google mà chỉ cần nhập địa chỉ email, nhưng khi khách hàng đến trang thanh toán, họ được yêu cầu tiết lộ rất nhiều thông tin nhận dạng cá nhân.

Tất cả dữ liệu đó là dữ liệu cá nhân và cần được tiết lộ trong chính sách bảo mật của cửa hàng thương mại điện tử. (Như những gì GAP làm trong chính sách của mình.)

Khi quyết định tạo một chính sách bảo mật thì bạn hãy bắt đầu bằng cách lập một danh sách. Mặc dù mỗi doanh nghiệp sẽ có những chính sách riêng nhưng sẽ có những hướng dẫn chung mà mọi chính sách nên tuân theo, hầu hết trong số đó là bắt buộc theo luật.

Những loại thông tin được thu thập

Các loại thông tin mà bạn thu thập từ khách hàng đều phải được chỉ định, đồng thời trong chính sách bạn phải nói về lý do tại sao bạn lại thu thập dữ liệu đó và cách sử dụng thông tin của người dùng. Ví dụ: nếu bạn thu thập địa chỉ email của mọi người, chính sách quyền riêng tư của bạn nên nói rõ ràng và đề cập rằng địa chỉ email là bắt buộc cho mục đích liên lạc.

Ví dụ đối với chính sách bảo mật của Walmart, nhà bán lẻ thông báo về dữ liệu khách hàng theo cả hai thuật ngữ chung và cụ thể, vì vậy người dùng hiểu rõ về dữ liệu nào đang được sử dụng và cách Walmart xử lý thông tin của họ.

Bạn cũng nên giải thích nếu dữ liệu có thể còn sót lại trên máy tính người dùng. Một ví dụ là cookie thường được sử dụng để theo dõi thói quen xem của khách truy cập, giúp khách hàng dễ dàng đăng nhập khi quay lại và ghi nhớ những sản phẩm đã được thêm vào giỏ hàng. Nếu bạn cung cấp tùy chọn tránh cookie, hãy thông báo cho họ về các tính năng của trang web sẽ không có sẵn.

Đây là một ví dụ từ Shopee

Chính sách bảo mật website của bạn nên bao gồm những gì?Chính sách bảo mật website của bạn nên bao gồm những gì?

Các trường hợp dữ liệu có thể được phát hành

Trong một số trường hợp nhất định, bạn có thể phải tuân thủ các yêu cầu hợp pháp (ví dụ: lệnh của tòa án, ra hầu tòa) để bàn giao dữ liệu người dùng. Do đó, chính sách bảo mật của bạn phải thảo luận về các tình huống trong đó dữ liệu khách hàng có thể sẽ được tiết lộ.

Như ví dụ về chính sách bảo mật của Shopee, công ty giải thích rằng họ sẽ chia sẻ thông tin cá nhân của người dùng trong các trường hợp đặc biệt và chỉ một số nhân viên mới có quyền truy cập thông tin của người dùng

Các trường hợp dữ liệu có thể được phát hànhCác trường hợp dữ liệu có thể được phát hành

Làm thế nào mà các thông tin được thu thập, chia sẻ hoặc thậm chí được đem bán

Nếu dữ liệu người dùng được bán hoặc chia sẻ cho bên thứ ba, chính sách quyền riêng tư của bạn nên bao gồm tùy chọn từ chối cho những khách hàng không muốn tiết lộ thông tin của họ cho người khác.

Ngoài ra, nếu bạn cho phép các bên thứ ba giám sát các hoạt động của khách hàng – ví dụ: Google Analytics, AdSense, AdRoll, YouTube thì chính sách bảo mật của bạn phải bao gồm một điều khoản xác định các bên thứ ba đó và cách họ thu thập sử dụng dữ liệu của khách hàng của bạn .

Ví dụ dưới đây cho thấy GAP đã thực hiện các giải thích về chính sách thu thập dữ liệu và quyền từ chối của khách hàng.

Làm thế nào mà các thông tin được thu thập, chia sẻ hoặc thậm chí được đem bánLàm thế nào mà các thông tin được thu thập, chia sẻ hoặc thậm chí được đem bán

Người dùng có quyền xem và sửa đổi thông tin của họ

Chính sách bảo mật của bạn cũng nên có một phần chi tiết về cách khách hàng có thể xem lại thông tin mà trang web đã thu thập từ họ cũng như cách họ có thể thay đổi hoặc xóa thông tin đó.

Nó sẽ cung cấp cho người tiêu dùng cơ hội để thay đổi, chỉnh sửa hoặc xóa dữ liệu cá nhân cũng như lựa chọn từ chối chia sẻ dữ liệu của họ với bạn. Dưới đây là một ví dụ về điều khoản từ chỉnh sửa thông tin của Shopee:

Người dùng có quyền xem và sửa đổi thông tin của họNgười dùng có quyền xem và sửa đổi thông tin của họ

Điều khoản chuyển nhượng kinh doanh

Đó là một ý tưởng tốt để bao gồm một phần trong chính sách bảo mật của bạn, chi tiết những gì sẽ xảy ra nếu bạn chuyển nhượng hoặc hợp nhất doanh nghiệp của bạn với một công ty khác. Được biết đến như một điều khoản của chuyển nhượng doanh nghiệp, điều khoản này sẽ thảo luận về những gì sẽ xảy ra nếu quyền sở hữu của doanh nghiệp thay đổi và các bước mà công ty bạn sẽ thực hiện để chuyển quyền sở hữu dữ liệu người dùng. 

Yêu cầu về độ tuổi

Nếu bạn bán sản phẩm dành cho người lớn hoặc những sản phẩm nhạy cảm, bạn cần có một điều khoản quy định độ tuổi tối thiểu người dùng xem trang web của bạn.

Hãy xem xét chính sách quyền riêng tư của nhà bán lẻ cần sa MedMen, trong đó nêu rõ trang web của họ dành cho đối tượng trưởng thành hoặc những người trên 21 tuổi. Nó cũng có một điều khoản liên quan đến trẻ em, trong đó MedMen sẽ xóa thông tin cá nhân của người dùng nếu họ tìm hiểu hoặc nghi ngờ rằng cá nhân đó 13 tuổi.

Chính sách bảo mật website của bạn nên bao gồm những gì? Yêu cầu về độ tuổiChính sách bảo mật website của bạn nên bao gồm những gì? Yêu cầu về độ tuổi

Liên hệ với ai khi lo ngại về quyền riêng tư

Chính sách của bạn cũng nên cung cấp thông tin liên lạc cho những người chịu trách nhiệm duy trì các thủ tục bảo mật của bạn. Hãy xem xét việc tạo một địa chỉ đặc biệt cho mục đích này – ví dụ: Quyền riêng tư của bạn @ yourcompanyname.com

Đây chính xác là những gì Shopee làm trong chính sách bảo mật của mình.

Liên hệ với ai khi lo ngại về quyền riêng tưLiên hệ với ai khi lo ngại về quyền riêng tư

Ngày chính sách có hiệu lực và cập nhật mới nhất

Hãy chắc chắn rằng chính sách bảo mật của bạn được cập nhật. Hãy ghi lại mọi thay đổi mà bạn đã thực hiện và luôn hiển thị khi bản cập nhật cuối cùng diễn ra.

Cách xây dựng chính sách bảo mật cho doanh nghiệp

Khi bạn đã tạo ra danh sách những điều cần bao gồm trong chính sách quyền riêng tư của mình thì đó là thời gian để đưa chúng vào hoạt động. Bạn có một vài lựa chọn khi nói đến việc tạo ra chính sách thực tế, bao gồm:

Thuê luật sư

Nếu bạn có tài chính thì bạn có thể thuê một chuyên gia hoặc luật sư để giúp bạn soạn thảo chính sách bảo mật của mình. Nhiều người sẽ thường nhìn xung quanh các trang web của đối thủ cạnh tranh và điều chỉnh chính sách cho phù hợp với doanh nghiệp của chính họ. Hãy chắc chắn rằng luật sư có kinh nghiệm về luật bảo vệ dữ liệu quốc tế và kiểm tra xem họ có cập nhật các yêu cầu hay không.

Nếu ngân sách của bạn không đủ nhưng vẫn muốn trợ giúp pháp lý, hãy cân nhắc sử dụng một dịch vụ như LegalZoom công cụ cho phép bạn lên lịch tư vấn với luật sư.

Đối với một khoản phí cố định, luật sư của LegalZoom Business Legal Plan sẽ soạn thảo các tài liệu của bạn với giá bắt đầu từ $399 nhưng lưu ý rằng giá này áp dụng cho các trang web cơ bản (tức là chỉ thông tin). Chính sách bảo mật của trang web thương mại điện tử có thể sẽ có giá cao hơn.

Sử dụng trình tạo chính sách bảo mật trực tuyến

Có nhiều tùy chọn trực tuyến sẽ tạo ra một chính sách bảo mật cho các nhu cầu cụ thể của bạn. Tuy nhiên, bạn phải chắc chắn rằng dịch vụ cung cấp các tùy chọn tùy chỉnh được hỗ trợ bởi chuyên môn pháp lý có thể kiểm chứng.

Một ví dụ tuyệt vời về trình tạo chính sách bảo mật  termsFeed. Tất cả những gì bạn cần làm là khởi động công cụ, nhập thông tin về trang web và ứng dụng của bạn, sau đó trả lời một vài câu hỏi về doanh nghiệp của bạn. Trình tạo chính sách bảo mật sau đó sẽ tạo một tài liệu tùy chỉnh mà bạn có thể tải xuống dưới dạng tệp HTML hoặc tệp văn bản.

Mẫu DIY

Đối với những người hầu như không có thời gian và tài chính thì có rất nhiều trang web cung cấp các mẫu chính sách bảo mật giúp chủ doanh nghiệp tạo ra một chính sách bảo mật khá nhanh chóng. Sử dụng thông tin chi tiết ở đây về các yêu cầu pháp lý và đảm bảo rằng bạn đã đáp ứng các yêu cầu và thông tin được nêu chính xác.

TermsFeed có một mẫu chính sách bảo mật tiện dụng mà bạn có thể tải xuống dưới dạng tệp PDF hoặc tài liệu MS Word, Google.

Chính sách bảo mật thương mại điện tử bổ sung

Ngoài việc có thông tin chính xác và phù hợp trong chính sách bảo mật của bạn, bạn cũng muốn trình bày các chính sách của mình theo cách mà họ có thể dễ dàng tìm thấy và hiểu được. Điều này đặc biệt quan trọng trong thời đại ngày nay, khi mọi người nhạy cảm hơn rất nhiều về quyền riêng tư của họ.

Làm cho chính sách bảo mật thông tin cá nhân của bạn dễ dàng tìm thấy

Đảm bảo rằng khách truy cập có thể dễ dàng xác định chính sách bảo mật của bạn bất kể họ ở đâu trên trang web của bạn. Thực hiện theo thông lệ chung về việc thêm liên kết chính sách quyền riêng tư ở phần cuối cùng của trang web để chúng có thể được nhìn thấy từ bất kỳ trang nào.

Chính sách bảo mật thương mại điện tử bổ sungChính sách bảo mật thương mại điện tử bổ sung

Bạn cũng nên xem xét việc liên kết với chính sách của mình trên các trang có liên quan trên trang web của bạn – chẳng hạn như Điều khoản & Điều kiện, Câu hỏi thường gặp, v.v.

Đơn giản hóa

Một chính sách bảo mật nên được viết bằng một ngôn ngữ đơn giản để dễ hiểu và giúp tạo niềm tin. Một chính sách phức tạp và đầy thuật ngữ kỹ thuật có thể khiến khách truy cập vào trang web của bạn cảm thấy khó hiểu và bối rối.

Hãy xem xét chính sách quyền riêng tư của Nordstrom Rack khi họ sử dụng ngôn ngữ đơn giản khi giải thích các điều khoản. Trang thậm chí trang web còn chứa các liên kết để người dùng có thể nhanh chóng điều hướng đến phần tài liệu liên quan đến họ.

Chính sách bảo mật thương mại điện tử bổ sung - Đơn giản hóaChính sách bảo mật thương mại điện tử bổ sung - Đơn giản hóa

Cập nhật chính sách bảo mật thường xuyên

Chính sách bảo mật của bạn không phải là thứ gì đó mà bạn có thể chỉ cần đặt và bỏ quên. Luật riêng tư và bảo vệ người tiêu dùng luôn thay đổi theo thời gian, vì vậy chính sách của bạn cũng sẽ phải phát triển theo. Hãy làm cho nó trở thành một điểm để xem xét thỏa thuận của bạn mỗi năm một lần và bất cứ khi nào luật mới được ban hành. Và như đã đề cập trước đó, hãy để chính sách của bạn nêu rõ khi nào nó được cập nhật lần cuối.

Kết luận

Chính sách bảo mật là một phần quan trọng trong bất kỳ khung pháp lý nào của trang web và nên được ưu tiên hàng đầu. Chính sách rõ ràng, tuân thủ, dễ truy cập là điều cần thiết để bảo vệ bạn với tư cách là một công ty thương mại điện tử trong việc giải quyết các hiểu lầm và các vụ kiện tiềm ẩn và nó cũng hoạt động như một phương tiện hiệu quả, minh bạch và đáng tin cậy giúp bạn có trách nhiệm với dữ liệu thu thập và xây dựng niềm tin với khách hàng của bạn.

Xem chi tiết

Thu gọn