Marmorris Yachting
Tài liệu nội bộ – Dành cho nhân viên

Chính sách bảo mật

Quy định về bảo mật thông tin và sử dụng dữ liệu trong hệ thống CRM nội bộ. Toàn bộ nhân viên có trách nhiệm đọc và tuân thủ.

Lần cập nhật cuối: 09 tháng 06 năm 2026 · Phiên bản 1.0

Lưu ý quan trọng

Đây là tài liệu nội bộ dành riêng cho nhân viên và cộng tác viên của MMR. Mọi vi phạm chính sách bảo mật đều được ghi nhận và xử lý theo quy định của công ty. Liên hệ bộ phận IT qua it.marmorisyacht@gmail.com nếu có thắc mắc.

1. Phạm vi áp dụng

Chính sách bảo mật này áp dụng cho toàn bộ nhân viên, cộng tác viên và các bên được cấp quyền truy cập vào hệ thống CRM nội bộ MMR (sau đây gọi là "Hệ thống"). Mọi người dùng khi đăng nhập vào Hệ thống đều phải tuân thủ các quy định được nêu trong chính sách này.

  • Nhân viên chính thức thuộc mọi phòng ban trong công ty
  • Cộng tác viên và nhân viên thời vụ được cấp tài khoản tạm thời
  • Quản lý và ban lãnh đạo có quyền truy cập cấp cao
  • Đội ngũ IT và vận hành hệ thống

2. Dữ liệu được xử lý trong hệ thống

Hệ thống CRM lưu trữ và xử lý các loại dữ liệu sau phục vụ hoạt động kinh doanh nội bộ:

  • Thông tin khách hàng: họ tên, số điện thoại, email, địa chỉ, lịch sử giao dịch
  • Thông tin hợp đồng và đơn hàng: giá trị, tiến độ, trạng thái thanh toán
  • Dữ liệu tương tác: lịch sử cuộc gọi, email trao đổi, ghi chú chăm sóc khách hàng
  • Thông tin nhân viên sử dụng hệ thống: tài khoản, phân quyền, nhật ký hoạt động
  • Báo cáo kinh doanh: doanh thu, KPI, hiệu suất đội ngũ

3. Mục đích sử dụng dữ liệu

Dữ liệu trong hệ thống chỉ được sử dụng cho các mục đích nội bộ sau:

  • Quản lý và chăm sóc khách hàng theo quy trình của công ty
  • Theo dõi tiến độ công việc và hiệu suất kinh doanh
  • Lập báo cáo phân tích phục vụ quyết định quản trị
  • Hỗ trợ phối hợp công việc giữa các phòng ban
  • Tuân thủ nghĩa vụ pháp lý, kế toán và kiểm toán nội bộ

⚠ Lưu ý: Dữ liệu trong hệ thống CRM tuyệt đối không được sử dụng cho mục đích cá nhân hoặc chia sẻ ra bên ngoài khi chưa được phê duyệt.

4. Phân quyền truy cập

Hệ thống áp dụng nguyên tắc phân quyền tối thiểu cần thiết (Least Privilege). Mỗi tài khoản chỉ được truy cập dữ liệu phù hợp với vai trò và trách nhiệm công việc:

  • Nhân viên kinh doanh: chỉ xem và chỉnh sửa dữ liệu khách hàng được phân công
  • Trưởng nhóm / Quản lý: xem toàn bộ dữ liệu trong phạm vi đội nhóm
  • Ban giám đốc: xem báo cáo tổng hợp và dữ liệu toàn công ty
  • Bộ phận IT: quyền kỹ thuật, không được phép đọc nội dung dữ liệu kinh doanh
  • Kế toán: chỉ truy cập dữ liệu tài chính và hợp đồng liên quan

⚠ Lưu ý: Mọi yêu cầu thay đổi quyền truy cập phải được quản lý trực tiếp phê duyệt và thực hiện qua bộ phận IT.

5. Bảo mật tài khoản cá nhân

Mỗi nhân viên có trách nhiệm bảo vệ tài khoản của mình theo các quy định sau:

  • Không chia sẻ mật khẩu hoặc thông tin đăng nhập với bất kỳ ai, kể cả đồng nghiệp
  • Sử dụng mật khẩu mạnh (tối thiểu 8 ký tự, gồm chữ hoa, chữ thường, số và ký tự đặc biệt)
  • Bắt buộc bật xác thực 2 yếu tố (2FA) đối với tài khoản cấp quản lý
  • Đăng xuất khỏi hệ thống sau khi kết thúc phiên làm việc
  • Báo ngay cho bộ phận IT nếu phát hiện tài khoản bị truy cập trái phép
  • Không đăng nhập hệ thống trên thiết bị cá nhân chưa được công ty phê duyệt

6. Cam kết bảo mật của nhân viên

Khi sử dụng hệ thống CRM, nhân viên cam kết không thực hiện các hành vi sau:

  • Xuất khẩu, sao chép hoặc chụp màn hình dữ liệu khách hàng khi không được phép
  • Truy cập dữ liệu ngoài phạm vi công việc được giao
  • Chia sẻ thông tin khách hàng lên mạng xã hội hoặc nền tảng bên ngoài
  • Sử dụng dữ liệu khách hàng sau khi nghỉ việc hoặc hết hợp đồng
  • Tự ý xóa hoặc chỉnh sửa dữ liệu lịch sử giao dịch

⚠ Lưu ý: Vi phạm các cam kết trên có thể dẫn đến xử lý kỷ luật, chấm dứt hợp đồng lao động và truy cứu trách nhiệm pháp lý theo quy định của pháp luật.

7. Biện pháp bảo mật kỹ thuật

Hệ thống được bảo vệ bởi các lớp bảo mật kỹ thuật sau:

  • Kết nối HTTPS/TLS mã hóa toàn bộ dữ liệu truyền tải
  • Cơ sở dữ liệu được mã hóa và sao lưu tự động hàng ngày
  • Nhật ký hoạt động (audit log) ghi lại mọi thao tác quan trọng trong hệ thống
  • Hệ thống phát hiện đăng nhập bất thường và tự động khóa tài khoản khi cần
  • Môi trường máy chủ được kiểm soát truy cập vật lý và logic
  • Kiểm tra bảo mật định kỳ (penetration testing) mỗi 6 tháng

8. Xử lý sự cố bảo mật

Khi phát hiện sự cố bảo mật (rò rỉ dữ liệu, tài khoản bị xâm phạm, v.v.), quy trình xử lý như sau:

  • Nhân viên báo cáo ngay lập tức cho quản lý trực tiếp và bộ phận IT
  • Bộ phận IT cô lập và đánh giá phạm vi sự cố trong vòng 2 giờ
  • Ban lãnh đạo được thông báo nếu sự cố ảnh hưởng đến dữ liệu nhạy cảm
  • Ghi nhận đầy đủ hồ sơ sự cố để phục vụ điều tra và cải tiến
  • Thông báo cho các bên liên quan (khách hàng, đối tác) nếu dữ liệu của họ bị ảnh hưởng

⚠ Lưu ý: Mọi sự cố bảo mật phải được báo cáo trong vòng 24 giờ kể từ khi phát hiện. Che giấu sự cố là vi phạm nghiêm trọng nội quy công ty.

9. Lưu trữ và xóa dữ liệu

Dữ liệu trong hệ thống được quản lý theo chính sách vòng đời dữ liệu:

  • Dữ liệu khách hàng hoạt động: lưu trữ suốt thời gian hợp tác
  • Dữ liệu khách hàng ngừng hợp tác: lưu trữ tối thiểu 5 năm theo quy định kế toán
  • Nhật ký hoạt động hệ thống: lưu trữ 12 tháng
  • Tài khoản nhân viên nghỉ việc: vô hiệu hóa ngay trong ngày cuối làm việc, xóa sau 90 ngày
  • Dữ liệu bị xóa sẽ được xóa vĩnh viễn và không thể khôi phục

10. Cập nhật chính sách

Chính sách bảo mật này được xem xét và cập nhật định kỳ hoặc khi có thay đổi quan trọng về quy trình hoặc pháp lý:

  • Mọi thay đổi chính sách sẽ được thông báo qua email nội bộ trước ít nhất 7 ngày
  • Phiên bản mới nhất luôn được đăng tải trên hệ thống CRM và cổng thông tin nội bộ
  • Nhân viên cần xác nhận đã đọc và đồng ý với chính sách mới trước khi tiếp tục sử dụng hệ thống

Xác nhận đã đọc chính sách

Bằng việc sử dụng hệ thống CRM, bạn xác nhận đã đọc, hiểu và đồng ý tuân thủ toàn bộ chính sách bảo mật này. Mọi thắc mắc vui lòng liên hệ bộ phận IT.

Liên hệ IT: it.marmorisyacht@gmail.comVề trang chủ