Quy tắc an toàn dữ liệu khi dùng Claude
Điều duy nhất không được sai — dữ liệu nào được và không được đưa vào Claude.
Công ty outsource sống nhờ NDA — đọc kỹ trang này trước khi dán bất cứ thứ gì vào Claude.
Quy tắc an toàn số 1
Công ty dùng gói Team/Enterprise — theo điều khoản Commercial của Anthropic, dữ liệu bạn nhập không được dùng để train model theo mặc định. Tuy vậy:
Tuyệt đối không
- KHÔNG dùng tài khoản Claude cá nhân (Free/Pro) cho code/tài liệu khách hàng — điều khoản consumer khác hoàn toàn.
- KHÔNG dán: mật khẩu, API key/secret, thông tin cá nhân của khách hàng (PII), dữ liệu bị NDA cấm chia sẻ với bên thứ ba xử lý.
- ✅ Được dán: code/tài liệu dự án trong phạm vi hợp đồng cho phép dùng công cụ AI đã được công ty phê duyệt.
- Khi nghi ngờ → hỏi PM hoặc bộ phận phụ trách chính sách dữ liệu nội bộ.
Tài khoản
- CHỈ dùng tài khoản Claude Team/Enterprise do công ty cấp cho mọi công việc.
- CẤM dùng tài khoản cá nhân (Free/Pro) cho code/tài liệu công ty hoặc khách hàng — điều khoản dữ liệu consumer khác hoàn toàn điều khoản thương mại.
- Cơ sở: gói Team/Enterprise thuộc Commercial Terms của Anthropic — dữ liệu không dùng để train model theo mặc định, có DPA (tham khảo: privacy.claude.com, trust.anthropic.com).
Phân loại dữ liệu — được/không được đưa vào Claude
| Nhóm | Ví dụ | Được đưa vào Claude? |
|---|---|---|
| 🟢 Công khai | Tài liệu marketing, JD, docs công nghệ public | ✅ Được |
| 🟡 Nội bộ | Quy trình, template, code dự án nội bộ | ✅ Được (tài khoản công ty) |
| 🟠 Khách hàng | Code, spec, tài liệu dự án khách | ⚠️ CHỈ khi dự án nằm trong danh sách được duyệt nội bộ (xem ghi chú bên dưới) |
| 🔴 Cấm tuyệt đối | Mật khẩu, API key/secret/chứng chỉ; PII khách hàng cuối (họ tên + liên hệ + tài chính...); dữ liệu dự án có NDA cấm bên xử lý thứ ba | ❌ Không bao giờ |
Quy tắc phụ: cần phân tích dữ liệu có PII → ẩn danh hoá trước (thay tên bằng mã). Secret lỡ dán vào chat → xoá chat, rotate secret ngay, báo bộ phận phụ trách bảo mật nội bộ.
Danh sách dự án được phép dùng Claude
Danh sách dự án cụ thể (khách hàng, tình trạng NDA, mức được dùng Claude) được quản lý và cập nhật nội bộ — không công khai ở trang này. Liên hệ PM/quản lý dự án để biết dự án bạn đang làm thuộc nhóm nào.
Dự án chưa được xác nhận = mặc định Cấm cho đến khi PM xác nhận với khách/hợp đồng.
🏋️ Bài tập: Hỏi PM hoặc quản lý dự án xem dự án bạn đang làm thuộc nhóm nào (được dùng Claude đầy đủ / có điều kiện / cấm).
Quy tắc theo công cụ
- Chat: tuân thủ bảng phân loại ở trên; chat nhạy cảm dùng incognito; không bảo Claude "nhớ" thông tin 🔴.
- Cowork: chỉ cấp quyền folder cần thiết; tuần đầu làm trên bản copy; thao tác xoá/gửi/submit phải có bước "hỏi trước"; không trỏ Cowork vào folder chứa dữ liệu 🔴.
- Claude Code: không chạy trên repo thuộc dự án "Cấm"; MCP server phải được tech lead duyệt; secret không được xuất hiện trong prompt/CLAUDE.md; mọi PR do AI hỗ trợ vẫn qua code review người.
- Connectors: chỉ bật connector admin đã duyệt; nguyên tắc quyền tối thiểu; nghỉ việc/đổi dự án → thu hồi.
Trách nhiệm & vi phạm
- Người dùng chịu trách nhiệm về nội dung mình đưa vào và sản phẩm mình gửi đi (kể cả do AI tạo).
- Kết quả AI phải được kiểm chứng trước khi gửi khách/dùng làm cơ sở quyết định (số liệu, điều khoản pháp lý, code chạy production).
- Vi phạm được xử lý theo quy chế nội bộ của công ty. Thắc mắc về chính sách này, liên hệ bộ phận phụ trách nội bộ.
Checklist Chương 0
☐ Phân biệt được Chat/Cowork/Code · ☐ Đăng nhập được tài khoản công ty · ☐ Đã đọc chính sách dữ liệu.