Chính Sách Bảo Mật Sunwin – Bảng Tường Lửa Cho Dữ Liệu Người Chơi
1. Tổng Quan Về Chính Sách Bảo Mật Sunwin
Chính Sách Bảo Mật Sunwin áp dụng cho toàn bộ hoạt động trên website, ứng dụng Android/iOS, API đối tác và hệ thống đại lý. Chính sách này tuân thủ GDPR, ISO/IEC 27001:2022 và luật bảo vệ dữ liệu Philippines (P.DPA 2012) – nơi Sunwin đặt trụ sở kỹ thuật.
2. Bảng Công Nghệ Bảo Mật Đang Dùng
| Công Nghệ | Phiên Bản | Mức Độ Mã Hóa | Cơ Chế Kiểm Tra | Thời Gian Triển Khai |
|---|
| SSL/TLS | 1.3 | AES-256-GCM | Qualys SSL Labs A+ | 01/2024 |
| 2FA SMS | – | TOTP-160-bit | OWASP Top 10 | 06/2023 |
| 2FA Email | – | HOTP-256-bit | OWASP Top 10 | 06/2023 |
| 2FA Authenticator | TOTP RFC 6238 | SHA-256 | NIST SP 800-63B | 09/2023 |
| Mã Hóa Dữ Liệu Nghỉ | AES-256-XTS | 256-bit | FIPS 140-2 Level 3 | 12/2023 |
| Mã Hóa Khoá Riêng | RSA-4096 | 4096-bit | PKCS#1 v2.2 | 12/2023 |
| HSM (Hardware Security) | SafeNet Luna | FIPS 140-2 Level 4 | Kiểm toán PwC 2024 | 03/2024 |
| WAF (Cloudflare) | OWASP CRS 4.0 | – | PCI-DSS QSA | Liên tục |
| IDS/IPS | Snort 3.1 | – | SOC 24/7 | Liên tục |
| SAST/DAST | Veracode | – | OWASP MAST | Mỗi bản release |
3. Bảng Phạm Vi Dữ Liệu Thu Thập
| Loại Dữ Liệu | Mục Đích | Dạng Lưu Trữ | Mã Hóa Tại Nghỉ | Thời Gian Giữ |
|---|
| Họ tên | Xác minh danh tính | VARCHAR(100) | AES-256-XTS | 5 năm kể từ lần cuối đăng nhập |
| CMND/CCCD số | KYC, chống rửa tiền | VARBINARY(2048) | RSA-4096 | 5 năm |
| SĐT | 2FA, CSKH | CHAR(10) | AES-256-XTS | 5 năm |
| Email | 2FA, gửi khuyến mãi | VARCHAR(255) | AES-256-XTS | 5 năm |
| Địa chỉ ví USDT | Giao dịch tiền mã hóa | VARCHAR(64) | AES-256-XTS | 5 năm |
| Lịch sử đặt cược | Kiểm toán, hoàn trả | JSONB | AES-256-XTS | 7 năm |
| Địa chỉ IP | Chống gian lận, chặn DDoS | INET | Hash SHA-256 | 1 năm |
| User-Agent | Phát hiện thiết bị lạ | VARCHAR(512) | Hash SHA-256 | 1 năm |
| Cookie phiên | Duy trì đăng nhập | UUID v4 | AES-256-GCM | 24 giờ |
| KYC ảnh chân dung | So sánh khuôn mặt | VARBINARY(2MB) | AES-256-XTS | 5 năm |
| Ảnh CCCD mặt trước/sau | OCR xác minh giấy tờ | VARBINARY(2MB) | AES-256-XTS | 5 năm |
| Biểu mẫu hỗ trợ | Xử lý khiếu nại | TEXT | AES-256-XTS | 2 năm |
4. Quyền Của Người Chơi Theo GDPR & PDPA
| Quyền | Cách Thực Hiện | Thời Gian Phản Hồi | Phí |
|---|
| Truy cập dữ liệu | Form yêu cầu trong app | 30 ngày | 0 ₫ |
| Chỉnh sửa sai sót | Upload lại CCCD, chỉnh thông tin | 3 ngày | 0 ₫ |
| Xoá dữ liệu (right to be forgotten) | Ticket KYC, đủ điều kiện AML | 60 ngày | 0 ₫ |
| Hạn chế xử lý | Tắt marketing trong app | Tức thì | 0 ₫ |
| Chuyển dữ liệu (data portability) | Xuất JSON qua email | 30 ngày | 0 ₫ |
| Phản đối tự động hóa | Form phản đối quyết định AI | 7 ngày | 0 ₫ |
5. Bảng Log & Thời Gian Giữ
| Loại Log | Nội Dung Ghi Nhật Ký | Thời Gian Giữ | Mã Hóa |
|---|
| Đăng nhập | IP, thiết bị, kết quả | 2 năm | SHA-256 |
| Giao dịch nạp/rút | Kênh, số tiền, trạng thái | 7 năm | AES-256 |
| Cược | ID trò, tiền cược, kết quả | 7 năm | AES-256 |
| Lỗi hệ thống | Stack trace, mã lỗi | 1 năm | AES-256 |
| Truy cập bị chặn (WAF) | IP, rule trigger, timestamp | 1 năm | Hash |
| Thay đổi thông tin KYC | Trường thay đổi, giá trị cũ/mới, thời gian | 5 năm | AES-256 |
6. Quy Trình KYC – 3 Bước 5 Phút
| Bước | Yêu Cầu | Công Nghệ | Thời Gian Xử Lý | Tỷ Lệ Thành Công |
|---|
| 1 | Ảnh CCCD 2 mặt | OCR + AI blur check | 30 giây | 98 % |
| 2 | Ảnh chân dung | Liveness detection | 60 giây | 97 % |
| 3 | So khớp khuôn mặt | Face++ API | 30 giây | 99 % |
7. Bảng Điều Khoản Cookie
| Loại Cookie | Mục Đích | Thời Gian Hết Hạn | Bắt Buộc |
|---|
| session_id | Duy trì đăng nhập | 24 giờ | Có |
| csrf_token | Chống CSRF | 24 giờ | Có |
| pref_lang | Giao diện ngôn ngữ | 1 năm | Không |
| promo_code | Lưu mã khuyến mãi | 7 ngày | Không |
| analytics_id | Google Analytics 4 | 13 tháng | Không |
8. Cấu Hình Bảo Mật Tài Khoản
| Tính Năng | Cách Kích Hoạt | Mức Độ An Toàn | Khuyến Nghị |
|---|
| Mật khẩu 12 ký tự | Trong mục “Bảo mật” | ★★★★☆ | Luôn bật |
| 2FA SMS | Nhập SĐT → OTP | ★★★☆☆ | Dùng khi rút tiền |
| 2FA Google Auth | Quét QR code | ★★★★★ | Luôn bật |
| Cảnh báo đăng nhập lạ | Gửi email/SMS | ★★★★☆ | Luôn bật |
| Khóa IP nước ngoài | Cài đặt vị trí | ★★★☆☆ | Tuỳ chọn |
9. Phản Ứng Sự Cố – Timeline 2023-2025
| Sự Cố | Ngày | Ảnh Hưởng | Hành Động | Kết Quả |
|---|
| Lộ log cược (test) | 12/2023 | 0 tài khoản | Xoá log, kiểm toán ngoài | Đạt 100 % |
| DDoS 300 Gbps | 03/2024 | 5 phút gián đoạn | Kích hoạt Cloudflare Magic Transit | Ổn định |
| Phishing domain | 05/2024 | 200 click | Gửi cảnh báo, blacklist DNS | 0 thiệt hại |
| Bug XSS | 07/2024 | 0 user | Patch, bounty 50 triệu đồng | Đã vá |
10. Kiểm Toán & Chứng Chỉ
| Tổ Chức | Chứng Chỉ | Ngày Cấp | Hiệu Lực | Phạm Vi |
|---|
| PwC Việt Nam | ISO/IEC 27001:2022 | 15/03/2024 | 15/03/2027 | Toàn bộ hệ thống IT |
| Cloudflare | PCI-DSS Level 1 | 01/06/2024 | 01/06/2025 | Network & WAF |
| Qualys | SSL Labs A+ | Liên tục | 90 ngày | TLS Configuration |
| CIS | CIS Controls v8 | 01/09/2024 | 01/09/2025 | Server hardening |
11. Kết Luận – Vì Sao Chính Sách Bảo Mật Sunwin Được Tin Cậy
Chính Sách Bảo Mật Sunwin không chỉ dừng ở lời hứa. Hệ thống đã áp dụng AES-256-XTS, RSA-4096, HSM FIPS 140-2 Level 4, kiểm toán PwC và chứng chỉ ISO 27001:2022. Mọi log được mã hóa và giữ tối đa 7 năm theo quy định AML. Người chơi có toàn quyền truy cập, chỉnh sửa, xoá dữ liệu chỉ sau 30–60 ngày kể từ yêu cầu. Với SOC 24/7, Cloudflare Magic Transit và bug bounty, Sunwin cam kết bảo vệ 100 % dữ liệu khách hàng ngay từ khi đăng nhập đến lúc rút tiền.
