Toàn tập: Cẩm nang chọn đối tác & soạn hợp đồng bảo trì, chăm sóc website

Nhiều doanh nghiệp gặp đúng “combo đau”: website lỗi không ai sửa, báo cáo mập mờ, đến lúc muốn đổi nhà cung cấp thì không lấy lại được quyền admin/hosting/domain, hoặc tệ hơn là mất dữ liệu. Hầu hết không phải vì xui, mà vì chọn sai đối tác + hợp đồng thiếu điều khoản kỹ thuật.

Hợp đồng bảo trì website không chỉ là thủ tục. Nó là “tấm khiên” để bảo vệ tài sản số: uptime, dữ liệu, bảo mật, hiệu suất và quyền sở hữu.

Lưu ý: đây là hướng dẫn thực hành (không thay thế tư vấn pháp lý). Với hợp đồng giá trị lớn, nên nhờ luật sư rà soát.

Xem thêm Backup Website Là Gì? Tại Sao Nó Là “Bảo Hiểm” Sống Còn Cho Doanh Nghiệp?

Giai đoạn 1: Bộ câu hỏi “lọc” đối tác trước khi ký

Năng lực và người trực tiếp làm

• Cho xem 3 dự án tương tự (cùng nền tảng: WordPress/Laravel/Shopify; cùng mô hình: dịch vụ/ecom/B2B).
• Hỏi thẳng: Ai là người thao tác trực tiếp trên website? (tên + vai trò + kinh nghiệm). Tránh “chốt sales xong giao thực tập sinh”.
• Quy trình update có staging không? Có backup trước update không? (WordPress docs cũng khuyến nghị cần chuẩn bị rollback/backup khi bật auto-update plugin/theme). (WordPress.org)

Quy trình làm việc và kênh giao tiếp

• Có kênh nhận yêu cầu rõ ràng (ticket/email/Trello) + lịch họp/đối soát định kỳ.
• Có phân loại mức độ sự cố (khẩn/cao/trung bình/thấp) và quy định phản hồi.

Báo cáo và “đo được hiệu quả”

Bảo trì không chỉ “sửa lỗi”, mà phải thấy được:

• uptime/sự cố, cập nhật đã làm, backup trạng thái
• tốc độ & Core Web Vitals (LCP/INP/CLS) — có thể theo dõi bằng Search Console report. (Google for Developers)
• chỉ số tìm kiếm cơ bản (click/impression/CTR) nếu họ phụ trách phần SEO kỹ thuật. (Google Help)

Red flags nên né

• “Cam kết lên top”, “đảm bảo ra đơn” (bảo trì web không thể hứa doanh thu)
• Không nói rõ backup/restore
• Muốn giữ toàn bộ quyền truy cập (domain/hosting/admin) “cho tiện”
• Báo cáo chỉ là “đã làm rất nhiều” nhưng không có KPI/biên bản

Xem thêm Bảo Mật Hệ Thống ERP Odoo: 7 Chiến Lược Bảo Vệ Dữ Liệu Kinh Doanh Quan Trọng Nhất

Giai đoạn 2: 6 nhóm điều khoản “sống còn” bắt buộc có trong hợp đồng

Phạm vi công việc chi tiết

Tránh câu “hỗ trợ kỹ thuật website”. Hãy buộc phải liệt kê:

Bảo trì cơ bản

• update core/theme/plugin (tần suất)
• kiểm tra lỗi (form, 404, email gửi)
• giám sát uptime

Bảo mật

• quét mã độc định kỳ
• vá lỗ hổng/thành phần lỗi thời (rủi ro “vulnerable/outdated components” là nhóm rủi ro phổ biến trong OWASP Top 10). (OWASP Foundation)

Hiệu suất

• tối ưu tốc độ/caching (nếu có)
• theo dõi Core Web Vitals (LCP/INP/CLS) theo Search Console. (Google for Developers)

Nội dung (nếu có)

• đăng/cập nhật nội dung: bao nhiêu bài/tháng, ai cung cấp nội dung, ai duyệt

Mẹo “không hứa suông”: ghi rõ deliverables (đầu việc) và không gộp việc phát sinh vào “hỗ trợ”.

SLA và xử lý sự cố

SLA cần có 2 mốc: thời gian phản hồi và thời gian khắc phục theo mức độ.

Gợi ý 4 mức:

• P1 (khẩn): web sập/bị hack/mất doanh thu → phản hồi ≤ 1h, xử lý tạm ≤ 4h
• P2: form hỏng/checkout lỗi → phản hồi ≤ 4h, xử lý ≤ 24h
• P3: lỗi hiển thị nhỏ → phản hồi ≤ 24h, xử lý ≤ 3 ngày
• P4: yêu cầu tối ưu/cải tiến → theo lịch

Uptime cam kết

• 99.9% nghe cao nhưng vẫn tương đương ~43 phút downtime mỗi tháng; 99.99% ~4 phút/tháng. (UptimeRobot)
  => Nếu hợp đồng ghi 99.99% thì phải kèm năng lực giám sát/on-call tương ứng (đừng để “cam kết cho đẹp”).

Xem thêm Hướng Dẫn Sử Dụng Google Image: Cách Tìm Kiếm Hình Ảnh Hiệu Quả Từ A-Z

Backup và trách nhiệm bảo mật

Backup phải ghi rõ:

• tần suất (daily/weekly), loại (full + incremental)
• phạm vi (files + database)
• thời gian lưu (retention 14/30/60 ngày)
• nơi lưu (ưu tiên offsite: cloud độc lập, không lưu duy nhất trên cùng server)

Bảo mật phải ghi rõ:

• trách nhiệm cập nhật định kỳ để giảm rủi ro lỗ hổng (đặc biệt với WordPress) (WordPress.org)
• quy trình khi phát hiện mã độc (cô lập, làm sạch, khôi phục từ backup, báo cáo nguyên nhân)

Tip: yêu cầu bài test restore định kỳ (ví dụ mỗi quý) — backup mà không restore được = backup vô nghĩa.

Quyền sở hữu tài sản và NDA

Bắt buộc ghi rõ: bạn là chủ sở hữu duy nhất của:

• mã nguồn (custom code), nội dung, database
• tài khoản domain/hosting/CDN/Email/GA4/GSC/Ads (ít nhất quyền admin cuối cùng phải thuộc bạn)

NDA/Bảo mật

• không chia sẻ dữ liệu, tài khoản, chiến lược cho bên thứ ba
• nghĩa vụ bảo mật vẫn còn hiệu lực sau khi hợp đồng kết thúc

Chi phí, thanh toán và “phát sinh”

Hãy làm rõ:

• phí tháng đã gồm những gì
• phí ngoài phạm vi tính theo giờ hay theo hạng mục
• nguyên tắc phát sinh: chỉ tính phí khi có xác nhận bằng văn bản (email/ticket)

Chấm dứt hợp đồng, bàn giao và tranh chấp

Điều khoản bàn giao phải “đo được”:

• thời gian bàn giao: 3–7 ngày làm việc sau khi chấm dứt
• bàn giao gồm: source code, database dump, file upload, cấu hình, danh sách plugin/theme, tài khoản & quyền truy cập
• cam kết không gây gián đoạn vận hành trong thời gian chuyển giao (nếu có)

Tranh chấp:

• ưu tiên thương lượng → hòa giải → cơ quan giải quyết (tòa/trọng tài) theo lựa chọn của hai bên (phần này nên có luật sư tư vấn nếu giá trị lớn).

Xem thêm Cẩm nang chọn mua và cài đặt Hosting cho người mới

Mẫu câu điều khoản (ngắn gọn, dễ đưa vào hợp đồng)

Mẫu Scope (rút gọn)

• “Nhà cung cấp thực hiện cập nhật core/theme/plugin định kỳ hàng tháng; kiểm tra form liên hệ và lỗi 404 hàng tuần; quét mã độc 2 lần/tháng; báo cáo tháng gồm uptime, lịch sử cập nhật, trạng thái backup, CWV (LCP/INP/CLS) theo Search Console.” (Google for Developers)

Mẫu SLA

• “P1: phản hồi ≤ 60 phút, khắc phục tạm thời ≤ 4 giờ; P2: phản hồi ≤ 4 giờ, khắc phục ≤ 24 giờ…”

Mẫu Backup

• “Backup tự động hàng ngày (files + database), lưu tối thiểu 30 bản gần nhất; 1 bản/tuần lưu offsite; cung cấp restore theo yêu cầu trong SLA.”

Checklist ký hợp đồng (in ra tick)

• Scope có liệt kê rõ đầu việc + tần suất
• SLA có phản hồi/khắc phục theo mức độ
• Uptime có số % + cách đo + ngoại lệ
• Backup có tần suất + retention + offsite + test restore
• Bảo mật có quét mã độc + cập nhật + quy trình xử lý sự cố
• Quyền sở hữu & tài khoản admin cuối cùng thuộc doanh nghiệp
• Phát sinh phải có xác nhận bằng văn bản
• Chấm dứt có điều khoản bàn giao “đo được”

Kết luận

Chọn đúng đối tác là một nửa. Nửa còn lại là hợp đồng đủ rõ để bảo vệ bạn: dữ liệu, quyền truy cập, SLA, backup, bảo mật và bàn giao. Hợp đồng càng rõ, bạn càng ít “trả học phí” sau này.

Nếu bạn muốn, mình có thể gửi Checklist rà soát hợp đồng bảo trì website (1 trang) + mẫu scope/SLA/backup để bạn dán vào hợp đồng và làm việc với agency cho “đúng ngay từ đầu”.

Đoàn Trình Dục

Đoàn Trình Dục là Giảng viên Khoa Công nghệ Thông tin tại Đại học Công nghệ Sài Gòn (STU), với hơn 10 năm kinh nghiệm thực chiến trong các lĩnh vực Mạng máy tính, Marketing Online, SEO và Bảo mật hệ thống.
Với nền tảng sư phạm và kinh nghiệm tư vấn cho nhiều doanh nghiệp, thầy chuyên sâu vào việc xây dựng các giải pháp kỹ thuật số toàn diện và hiệu quả.