дальнейшего получения информации о бонусах из системы лояльности и отправки уведомлений об изменении статуса заказа (в того же бота)
Если речь идет лишь о получении некой информации, которая не является персональными данными (не попадает под действие 152-ФЗ и прочих подзаконных актов), и не служит для идентификации платежных данных (не попадает под действие 115-ФЗ), то такой сервис ни чем по сути не отличается от электронной почты, и его при большом желании можно прикрутить. Но в любом случае надо смотреть что именно ваш сервис аутентифицирует и авторизует, могут быть ньюансы. Ну и по любому, лично я телегу бы не использовал, хотя причина намерения использовать её API мне в общем то понятна.