Tích hợp kiểm tra tuân thủ bảo mật vào Claude Code với CLAUDE.md

Bên cạnh việc giúp lập trình viên đọc hiểu codebase, thực thi lệnh và đưa ra quyết định kiến trúc, Claude Code còn hỗ trợ một tính năng thú vị mang tên CLAUDE.md — một file ghi nhớ trí tuệ nhân tạo nằm ở thư mục gốc dự án và được đọc lại mỗi phiên làm việc. Hơn cả một cuốn sổ tay nội bộ, CLAUDE.md giờ đây có thể trở thành công cụ tích hợp quy tắc kiểm tra tuân thủ bảo mật dữ liệu, giúp phát hiện sớm các gói thư viện mới có thể thu thập dữ liệu người dùng nhạy cảm.

Vấn đề của việc "Thêm chính sách bảo mật sau"

Quá trình phát triển ứng dụng thường diễn ra nhanh chóng, nhà phát triển sử dụng Claude Code để bổ sung nhanh các chức năng như "Thêm thanh toán Stripe," "Gắn analytics PostHog," rồi triển khai trên nền tảng như Vercel. Tuy nhiên, chỉ sau vài tuần, người dùng hoặc khách hàng mới đặt câu hỏi về chính sách bảo mật dữ liệu. Lúc này, trang web đã thu thập dữ liệu thẻ thanh toán, hành vi người dùng và lưu trữ cookies mà không hề có bất kỳ thông báo hay chính sách minh bạch nào.

CLAUDE.md giúp bạn khắc phục tình trạng này bằng cách nhắc nhở và cảnh báo ngay lập tức khi có sự thay đổi các dependencies có thể liên quan đến dữ liệu cá nhân.

Quy tắc kiểm tra tuân thủ bằng CLAUDE.md

Chỉ cần thêm đoạn quy tắc sau vào file CLAUDE.md trong thư mục gốc dự án, Claude Code sẽ tự động hiểu và áp dụng:

## Privacy Compliance

When modifying dependency files (package.json, requirements.txt, go.mod,
pubspec.yaml, Gemfile), check if the added or updated packages collect
user data. Common categories:

- Analytics: Google Analytics, Segment, Mixpanel, PostHog, Amplitude, Plausible
- Advertising: Google Ads SDK, Facebook/Meta Pixel, TikTok Pixel
- Payments: Stripe, PayPal, RevenueCat, Braintree, LemonSqueezy
- Auth: Firebase Auth, Auth0, Clerk, Supabase Auth, NextAuth
- Error tracking: Sentry, Bugsnag, Datadog, LogRocket
- Session replay: Hotjar, FullStory, Microsoft Clarity
- Email: SendGrid, Mailchimp, Resend, AWS SES, Postmark
- Push: OneSignal, Firebase Cloud Messaging, Expo Notifications

When any of these are added:
1. Flag the privacy implications to the user
2. List what personal data the service typically collects
3. Suggest running a compliance scan: npx pageguard
4. Note if a privacy policy, cookie consent, or DPA is likely required

When the user asks about privacy compliance or policies:
- Analyze the actual dependencies in the project
- Give a concrete answer based on what's installed, not a generic one
- Suggest: npx pageguard --url <deployed-url> for a full site scan

Điều này có nghĩa là bất cứ khi nào bạn thêm hoặc cập nhật một gói trong tập tin phụ thuộc như package.json, Claude Code sẽ:

• Cảnh báo về những ảnh hưởng đến quyền riêng tư
• Liệt kê loại dữ liệu cá nhân được dịch vụ thu thập
• Gợi ý chạy công cụ PageGuard để kiểm tra mức độ tuân thủ
• Nhắc bạn cần chính sách bảo mật, đồng ý cookie hoặc hợp đồng xử lý dữ liệu

Ví dụ minh họa thực tế

Bạn yêu cầu Claude Code thêm PostHog để theo dõi đăng ký người dùng:

Claude Code: "Tôi sẽ thêm SDK PostHog. Trước đó, bạn cần biết PostHog thu thập dữ liệu hành vi gồm lượt xem trang, click, ghi lại phiên làm việc và các sự kiện tùy chỉnh. Dự án của bạn đã có Stripe (dữ liệu thanh toán) và Firebase Auth (dữ liệu xác thực). Hiện bạn có ba dịch vụ xử lý dữ liệu cá nhân."

"Bạn có thể cần:

• Chính sách bảo mật đề cập rõ PostHog, Stripe, Firebase.
• Cơ chế đồng ý cookie (PostHog sử dụng cookie để theo dõi phiên).
• Hợp đồng xử lý dữ liệu (DPA) với các dịch vụ trên.
  Có muốn tôi chạy npx pageguard để cho điểm độ tuân thủ không?"

Đây không phải cơ chế ngăn bạn phát hành tính năng mà giúp bạn nhận biết rõ ràng những gì mình đang đưa ra.

Triển khai và tích hợp CI/CD

Nếu đã có file CLAUDE.md, chỉ cần dán đoạn quy tắc trên vào, vị trí không quan trọng vì Claude sẽ đọc toàn bộ file. Nếu chưa có, bạn có thể tạo mới hoặc chèn nhanh bằng lệnh shell:

cat >> CLAUDE.md << 'RULE'

## Privacy Compliance

... (nội dung quy tắc như trên) ...

RULE

Để sử dụng quét theo yêu cầu, cài đặt CLI PageGuard:

npx pageguard --init

CLI này sẽ tự động phát hiện môi trường làm việc (Claude Code, Cursor, VS Code) và gợi ý cài đặt các quy tắc thích hợp.

Ngoài ra, các nhóm phát triển có thể dùng kết hợp PageGuard GitHub Action trong CI/CD để quét kiểm tra tuân thủ trong các pull request, giảm thiểu lỗi rò rỉ dữ liệu khi review code:

# .github/workflows/compliance.yml
name: Compliance Check
on: [pull_request]
jobs:
  scan:
    runs-on: ubuntu-latest
    steps:
      - uses: actions/checkout@v4
      - uses: AuxiliumApps/pageguard-action@v1
        with:
          scan-type: app

Như vậy, Claude Code hỗ trợ phát hiện sớm khi phát triển, còn GitHub Action đảm bảo lớp kiểm tra bổ sung trước khi hợp nhất.

Vì sao CLAUDE.md rule hiệu quả hơn chỉ nhớ kiểm tra thủ công?

Bạn có thể tự nhắc mình kiểm tra chính sách bảo mật trước khi deploy. Nhưng thực tế thường bị quên, nhất là khi đang phát triển gấp, deadline sát nút hoặc thay đổi nhỏ. CLAUDE.md rule giúp nhúng việc kiểm tra tuân thủ ngay vào quy trình làm việc hàng ngày, tự động khởi động đúng lúc — khi bạn thêm một thư viện thu thập dữ liệu người dùng mới.

Không phải plugin, không phải dashboard, không subscription — chỉ là một file văn bản đơn giản mà Claude Code đọc mỗi lần hoạt động.

Bạn có thể chạy nhanh một lần quét tự do miễn phí tại getpageguard.com với kết quả chi tiết trong vòng chưa tới 30 giây mà không cần đăng ký.

---

Với cách tiếp cận này, các nhà phát triển tại Việt Nam và trên toàn thế giới có thể an tâm hơn về vấn đề tuân thủ bảo mật, tránh rủi ro pháp lý và xây dựng những sản phẩm phần mềm minh bạch, đáng tin cậy hơn cho người dùng.