Chính sách bảo mật của 8day bảo vệ thông tin hội viên

Trong kỷ nguyên số hóa bùng nổ và nguy cơ rò rỉ dữ liệu ngày càng cao, việc bảo vệ thông tin cá nhân trở thành ưu tiên hàng đầu.

Chính sách bảo mật của 8day được xây dựng dựa trên nền tảng pháp lý vững chắc, công nghệ bảo mật tiên tiến và quy trình quản lý nghiêm ngặt, nhằm đảm bảo tính an toàn, minh bạch và trách nhiệm.

Bài viết chi tiết sẽ phân tích 11 khía cạnh trọng yếu – từ cơ sở pháp lý, nguyên tắc thu thập, xác thực, hạ tầng lưu trữ, công nghệ mã hóa, vận hành an ninh, đánh giá định kỳ, chia sẻ dữ liệu, tương tác hội viên, đào tạo, xử lý sự cố đến cải tiến liên tục – kèm ví dụ thực tiễn và hướng dẫn hội viên tương tác, giúp bạn hình dung rõ cách thức 8day triển khai Chính sách bảo mật tối ưu.

Cơ sở pháp lý và chuẩn mực quốc tế của Chính sách bảo mật
Cơ sở pháp lý và chuẩn mực quốc tế của Chính sách bảo mật

Cơ sở pháp lý và chuẩn mực quốc tế của Chính sách bảo mật

Quy định pháp luật Việt Nam

  • 8day tuân thủ Luật An toàn thông tin mạng (2015) và Nghị định 53/2022/NĐ-CP về bảo vệ dữ liệu cá nhân;
  • Báo cáo định kỳ với Bộ Thông tin – Truyền thông về tình hình an ninh mạng và xử lý sự cố.

Tiêu chuẩn quốc tế

  • Áp dụng ISO/IEC 27001:2013 – Hệ thống quản lý an toàn thông tin (ISMS) đạt chứng nhận;
  • Tham khảo GDPR (Liên minh châu Âu) và áp dụng nguyên tắc Privacy by Design;
  • Cập nhật theo chuẩn ISO/IEC 27701 về quản lý thông tin cá nhân.

Nguyên tắc xây dựng và minh bạch thông tin

Minh bạch tuyệt đối

  • Công khai chi tiết Chính sách bảo mật trên website, bao gồm biểu đồ luồng dữ liệu (data flow) và bảng tóm tắt các quyền của hội viên;
  • Công bố báo cáo bảo mật hàng năm, liệt kê các sự cố đã phát sinh và biện pháp khắc phục.

Hạn chế thu thập

  • Chỉ yêu cầu thông tin thiết yếu: họ tên, ngày sinh, số điện thoại, email, tài khoản ngân hàng;
  • Không lưu trữ thông tin thẻ tín dụng đầy đủ hoặc các dữ liệu nhạy cảm không phục vụ mục đích nghiệp vụ.

Thời hạn bảo quản và xoá dữ liệu người dùng

  • Dữ liệu cá nhân không hoạt động được hủy an toàn sau 5 năm, theo chuẩn DoD 5220.22-M đảm bảo không thể khôi phục;
  • Xây dựng chính sách lưu giữ linh hoạt cho các nghiệp vụ ưu tiên, ví dụ lịch sử cược lưu 2 năm, log hệ thống lưu 90 ngày.

Cách thức thu thập và kiểm chứng thông tin người dùng

Thu thập có sự đồng ý

  • Hội viên tick chọn “Tôi đồng ý với Chính sách bảo mật” kèm liên kết chi tiết trước khi đăng ký;
  • Gửi email xác nhận sau mỗi lần cập nhật chính sách, yêu cầu chấp nhận lại.

Xác thực đa tầng

  • OTP SMS và email token xác minh kênh liên lạc;
  • Giao dịch trên 50 triệu VND yêu cầu xác minh giấy tờ và video call;
  • Tích hợp đối soát với Cổng Dịch vụ Công Quốc gia để tăng độ chính xác.
Hạ tầng lưu trữ và phân loại dữ liệu
Hạ tầng lưu trữ và phân loại dữ liệu

Hạ tầng lưu trữ và phân loại dữ liệu

Trung tâm dữ liệu đạt chuẩn

  • Máy chủ đặt tại trung tâm dữ liệu Tier III với độ sẵn sàng 99.982%, sao lưu 3-2-1 (3 bản sao, 2 loại phương tiện, 1 sao lưu offsite);
  • Kiểm tra định kỳ khả năng phục hồi, drill disaster recovery 2 lần/năm.

Phân loại dữ liệu theo mô hình CIA

  • Công khai: nickname, trạng thái tài khoản;
  • Nội bộ: lịch sử cược, log hoạt động;
  • Tuyệt mật: CMND, số tài khoản ngân hàng, hình ảnh giấy tờ.

Giải pháp mã hóa hiện đại và kết nối bảo mật

Mã hóa đầu cuối

  • Sử dụng TLS 1.3 kết hợp thuật toán AES-256-GCM cho kết nối;
  • Field-level encryption trong MySQL/PostgreSQL và MongoDB cho dữ liệu nhạy cảm.

Chính sách quản lý khóa

  • Sử dụng Hardware Security Module (HSM) để lưu trữ và quản lý khóa mã hóa;
  • Xoay khóa (key rotation) định kỳ 6 tháng/lần, tuân thủ chuẩn NIST.

Vận hành an ninh mạng

Kiểm soát truy cập và IAM

  • Role-Based Access Control (RBAC) phân quyền chi tiết đến API endpoint;
  • Yêu cầu mật khẩu tối thiểu 12 ký tự, bắt buộc chữ hoa, chữ thường, số và ký tự đặc biệt;
  • Khuyến nghị 2FA qua Google Authenticator hoặc SMS.

Giám sát và phát hiện sự cố

  • SIEM kết hợp Machine Learning phân tích log, cảnh báo sớm tấn công brute-force, IP lạ, truy cập bất thường;
  • Honeypot nhằm thu thập thông tin hành vi tấn công thực tế, cập nhật quy tắc WAF.

Phòng thủ DDoS và WAF

  • Web Application Firewall chống XSS, CSRF, SQL Injection;
  • DDoS Protection lên đến 1 Tbps, tự động cân bằng tải khi bị tấn công.

Thực hiện kiểm thử bảo mật thường xuyên

Penetration Testing

  • Thực hiện 3 tháng/lần với đối tác uy tín (CyberEyes, VNPT-CA);
  • Bảng xếp hạng lỗ hổng theo CVSS, ưu tiên khắc phục điểm cao trước.

Audit tuân thủ ISO/IEC 27001

  • Kiểm toán nội bộ hàng năm;
  • Cập nhật ISMS khi có thay đổi quy trình hoặc công nghệ.

Chia sẻ dữ liệu và hợp tác bên thứ ba

Nguyên tắc chia sẻ dữ liệu

  • Cấm bán, cho thuê hoặc trao đổi dữ liệu cá nhân;
  • Chỉ chia sẻ khi có đồng ý bằng văn bản hoặc theo yêu cầu pháp lý.

Kiểm soát đối tác

  • Yêu cầu đối tác thanh toán, xác minh danh tính tuân thủ ISO/IEC 27001, ký NDA;
  • Audit định kỳ để bảo đảm tuân thủ Chính sách bảo mật.
Quyền hạn và trách nhiệm của thành viên
Quyền hạn và trách nhiệm của thành viên

Quyền hạn và trách nhiệm của thành viên

Quyền lợi

  • Tự do truy cập, cập nhật hoặc xóa dữ liệu mọi lúc
  • Yêu cầu xuất báo cáo dữ liệu (DSAR) miễn phí;
  • Hỗ trợ ưu tiên khi phát sinh tranh chấp liên quan bảo mật.

Nghĩa vụ

  • Cập nhật thông tin kịp thời và đảm bảo độ chính xác
  • Giữ an toàn cho tài khoản, tuyệt đối không tiết lộ mật khẩu
  • Tuân theo các điều lệ của dịch vụ và cam kết bảo mật thông tin.

Truyền thông, tương tác và hỗ trợ hội viên

Kênh thông báo

  • Email định kỳ: bản tin bảo mật, cảnh báo lừa đảo;
  • Trang blog, cổng FAQ và video hướng dẫn chi tiết.

Sự kiện an ninh mạng

  • Webinar 6 tháng/lần chia sẻ xu hướng và hướng dẫn thực hành;
  • Workshop nội bộ kết hợp chuyên gia bên ngoài.

Hỗ trợ khẩn cấp

  • Đường dây nóng 24/7, phản hồi dưới 2 giờ cho trường hợp nghi ngờ xâm phạm;
  • Hệ thống ticket tự động theo dõi tiến độ xử lý.

Xử lý sự cố thực tiễn và case study

Ví dụ sự cố tấn công DDoS

  • Tháng 3/2025, 8day bị tấn công DDoS quy mô 500 Gbps;
  • Kích hoạt DDoS Protection, cân bằng tải và chuyển hướng lưu lượng, dịch vụ duy trì 100% uptime;
  • Báo cáo công khai hành động và khuyến nghị cho hội viên.

Case study rò rỉ dữ liệu giả lập

  • Giả lập tấn công lừa đảo phishing tháng 1/2025 để kiểm tra đào tạo hội viên;
  • 95% hội viên phản hồi đúng quy trình báo cáo, giảm 70% rủi ro thành công so với đợt trước.

Đào tạo và cải tiến liên tục

Đào tạo nhân viên

  • Khoá học “Chính sách bảo mật” bắt buộc cho nhân viên mới;
  • Tình huống giả lập xử lý sự cố (drill tabletop) hàng quý.

Thu thập phản hồi

  • Khảo sát hài lòng hội viên 6 tháng/lần về bảo mật;
  • Hòm thư góp ý 24/7 và hệ thống ticket tự động xử lý ý kiến.

Nghiên cứu công nghệ mới

  • Thử nghiệm blockchain cho xác thực giao dịch, proof of audit;
  • Triển khai AI/ML nâng cao khả năng phát hiện mối đe dọa.

Kết luận

Với chiến lược đầu tư bài bản vào hạ tầng, công nghệ bảo mật, quy trình quản lý và đội ngũ chuyên gia, Chính sách bảo mật của 8day đảm bảo một môi trường game cá cược an toàn, minh bạch và đáng tin cậy. Thông tin cá nhân và giao dịch của bạn luôn được bảo vệ ở mức cao nhất. Hãy đọc kỹ Chính sách bảo mật, tận dụng quyền lợi và đồng hành cùng 8day xây dựng cộng đồng game văn minh, chuyên nghiệp và an toàn.