Chính Sách Bảo Mật
Dữ Liệu Cá Nhân sun20

Chính sách bảo mật này ("Chính Sách") được ban hành bởi sun20 ("sun20", "chúng tôi") và điều chỉnh toàn bộ hoạt động thu thập, lưu trữ, xử lý và sử dụng dữ liệu cá nhân của người dùng khi truy cập và sử dụng trang web sun20.asia, bao gồm tất cả các trang con, tính năng và dịch vụ liên quan ("Nền Tảng").

Một số khái niệm quan trọng được sử dụng xuyên suốt tài liệu này:

• "Dữ liệu cá nhân": Bất kỳ thông tin nào có thể xác định danh tính một cá nhân, bao gồm họ tên, số điện thoại, địa chỉ email, số CCCD/CMND, địa chỉ IP và thông tin hành vi sử dụng.
• "Xử lý dữ liệu": Bất kỳ hoạt động nào được thực hiện với dữ liệu cá nhân, bao gồm thu thập, ghi lại, lưu trữ, truy xuất, sử dụng, tiết lộ hoặc xóa.
• "Chủ thể dữ liệu": Người dùng là cá nhân mà dữ liệu cá nhân liên quan đến.
• "Bên nhận dữ liệu": Tổ chức hoặc cá nhân bên ngoài sun20 mà dữ liệu cá nhân được chia sẻ hoặc tiết lộ.
• "Phiên": Khoảng thời gian từ khi bạn đăng nhập đến khi đăng xuất khỏi Nền Tảng sun20.

sun20 thu thập dữ liệu cá nhân theo các phương thức sau đây, tùy theo cách bạn tương tác với Nền Tảng:

2.1 Dữ liệu bạn cung cấp trực tiếp

2.2 Dữ liệu thu thập tự động

• Dữ liệu thiết bị: Loại thiết bị, hệ điều hành, phiên bản trình duyệt, độ phân giải màn hình, ngôn ngữ cài đặt.
• Dữ liệu mạng: Địa chỉ IP, nhà cung cấp dịch vụ Internet (ISP), vị trí địa lý xấp xỉ (cấp độ thành phố/tỉnh, không xác định vị trí chính xác).
• Dữ liệu hành vi: Trang đã truy cập, thứ tự điều hướng, thời gian trên từng trang, tính năng đã sử dụng, lịch sử tìm kiếm trong Nền Tảng.
• Dữ liệu giao dịch: Lịch sử đặt cược, kết quả thắng/thua, lịch sử nạp/rút tiền, số dư tài khoản tại từng thời điểm.
• Nhật ký phiên: Thời gian đăng nhập, thời gian đăng xuất, số lần đăng nhập, thiết bị được sử dụng cho từng phiên.

sun20 sử dụng dữ liệu cá nhân của bạn chỉ vì những mục đích hợp pháp, cụ thể và minh bạch dưới đây. Chúng tôi không xử lý dữ liệu theo bất kỳ cách nào không được liệt kê trong danh sách này mà không có sự đồng ý bổ sung của bạn:

• Cung cấp dịch vụ cốt lõi: Tạo và quản lý tài khoản, xử lý giao dịch cá cược, thanh toán nạp/rút tiền, cung cấp kết quả và lịch sử giao dịch.
• Xác minh danh tính (KYC/AML): Xác nhận danh tính người dùng, phòng chống gian lận, rửa tiền và tuân thủ quy định pháp luật về phòng chống rửa tiền.
• Bảo mật và phòng chống gian lận: Phát hiện và ngăn chặn hành vi đáng ngờ, truy cập trái phép, tấn công mạng và gian lận tài chính.
• Cải thiện chất lượng dịch vụ: Phân tích hành vi người dùng để tối ưu giao diện, cải thiện tốc độ, sửa lỗi kỹ thuật và phát triển tính năng mới.
• Hỗ trợ khách hàng: Xử lý khiếu nại, trả lời câu hỏi, giải quyết tranh chấp và cung cấp hỗ trợ kỹ thuật cá nhân hóa.
• Tuân thủ pháp luật: Đáp ứng các yêu cầu báo cáo pháp lý, lưu trữ hồ sơ theo quy định và hợp tác với cơ quan nhà nước khi có yêu cầu hợp pháp.
• Truyền thông cá nhân hóa: Gửi thông báo về giao dịch, ưu đãi phù hợp với sở thích của bạn (chỉ khi bạn đã đồng ý nhận thông báo marketing).
• Chơi có trách nhiệm: Phân tích hành vi chơi để phát hiện dấu hiệu rủi ro và chủ động liên hệ hỗ trợ khi cần thiết.

Theo quy định tại Nghị định 13/2023/NĐ-CP và các quy định pháp luật hiện hành, mọi hoạt động xử lý dữ liệu cá nhân tại sun20 đều dựa trên ít nhất một trong các cơ sở pháp lý sau:

• Sự đồng ý (Consent): Bạn đã đồng ý rõ ràng với việc xử lý dữ liệu cụ thể, ví dụ như đăng ký nhận thông báo marketing hay kích hoạt tính năng cá nhân hóa nâng cao.
• Thực hiện hợp đồng (Contract Performance): Việc xử lý là cần thiết để cung cấp các dịch vụ bạn đã yêu cầu và đồng ý sử dụng khi tạo tài khoản sun20.
• Nghĩa vụ pháp lý (Legal Obligation): sun20 bắt buộc phải xử lý một số dữ liệu để tuân thủ luật pháp Việt Nam, bao gồm quy định về phòng chống rửa tiền và báo cáo tài chính.
• Lợi ích chính đáng (Legitimate Interests): Xử lý dữ liệu nhằm phòng chống gian lận, bảo vệ hệ thống và cải thiện an toàn cho tất cả người dùng — miễn là không xâm phạm quyền lợi cơ bản của bạn.

Đối với bất kỳ mục đích xử lý nào không thuộc các cơ sở pháp lý trên, sun20 sẽ xin đồng ý rõ ràng từ bạn trước khi tiến hành và bạn có thể rút lại sự đồng ý đó bất kỳ lúc nào.

sun20 không bán, cho thuê hay trao đổi dữ liệu cá nhân của thành viên với bất kỳ bên thứ ba nào vì mục đích thương mại. Dữ liệu của bạn chỉ được chia sẻ trong những trường hợp được quy định rõ ràng dưới đây:

• Nhà cung cấp dịch vụ kỹ thuật (Data Processors): Các đối tác cung cấp dịch vụ máy chủ, xử lý thanh toán (MoMo, ZaloPay, VNPay), phần mềm game và dịch vụ phân tích dữ liệu. Tất cả đều ký hợp đồng bảo mật dữ liệu nghiêm ngặt và chỉ được xử lý dữ liệu theo đúng chỉ dẫn của sun20.
• Cơ quan nhà nước có thẩm quyền: Khi có yêu cầu hợp pháp bằng văn bản từ tòa án, công an, viện kiểm sát hay cơ quan thuế. sun20 sẽ thông báo cho bạn trước khi cung cấp dữ liệu trừ khi bị cấm làm vậy theo pháp luật.
• Tổ chức phòng chống gian lận: Chia sẻ thông tin ẩn danh hoặc theo quy định pháp luật với các tổ chức chuyên phòng chống rửa tiền và gian lận tài chính trong ngành iGaming.
• Chuyển nhượng doanh nghiệp: Trong trường hợp sun20 được mua lại, sáp nhập hay tái cơ cấu, dữ liệu cá nhân có thể được chuyển giao cho bên kế thừa — bên này sẽ bị ràng buộc bởi Chính Sách này hoặc một chính sách tương đương.

sun20 đầu tư nghiêm túc vào cơ sở hạ tầng và quy trình bảo mật để bảo vệ dữ liệu cá nhân của bạn khỏi truy cập trái phép, mất mát, tiết lộ hay sửa đổi ngoài ý muốn.

Các biện pháp kỹ thuật và tổ chức đang được áp dụng tại sun20:

• Mã hóa trong truyền tải: TLS 1.3 / SSL 256-bit cho tất cả kết nối giữa thiết bị người dùng và máy chủ sun20.
• Mã hóa khi lưu trữ: Dữ liệu nhạy cảm (thông tin tài chính, hình ảnh CCCD) được mã hóa AES-256 trong cơ sở dữ liệu.
• Băm mật khẩu: Mật khẩu không bao giờ được lưu trữ dưới dạng văn bản thô — chỉ lưu giá trị băm theo thuật toán bcrypt với salt ngẫu nhiên.
• Kiểm soát truy cập: Chỉ nhân viên sun20 có nhu cầu công việc chính đáng mới được truy cập dữ liệu cá nhân, theo nguyên tắc đặc quyền tối thiểu (least privilege).
• Trung tâm dữ liệu bảo mật: Máy chủ sun20 đặt tại trung tâm dữ liệu đạt chứng nhận ISO 27001, với hệ thống kiểm soát vật lý, phòng cháy chữa cháy và nguồn điện dự phòng.
• Giám sát 24/7: Hệ thống SIEM (Security Information and Event Management) giám sát và cảnh báo tự động về mọi hoạt động bất thường trong thời gian thực.
• Kiểm tra định kỳ: Kiểm tra thâm nhập bảo mật (penetration testing) được thực hiện ít nhất 2 lần mỗi năm bởi đội bảo mật độc lập bên ngoài.
• Sao lưu dữ liệu: Dữ liệu được sao lưu tự động mỗi ngày tại nhiều vị trí địa lý khác nhau để đảm bảo phục hồi trong trường hợp sự cố.

sun20 sử dụng cookie và các công nghệ tương tự để cải thiện trải nghiệm người dùng và đảm bảo Nền Tảng hoạt động bình thường. Dưới đây là các loại cookie được sử dụng:

• Cookie thiết yếu (Strictly Necessary): Bắt buộc để Nền Tảng hoạt động — bao gồm cookie phiên đăng nhập, cookie bảo mật CSRF và cookie xác thực 2FA. Không thể tắt loại cookie này mà không ảnh hưởng đến chức năng cơ bản.
• Cookie hiệu suất (Performance): Thu thập dữ liệu ẩn danh về cách người dùng tương tác với Nền Tảng để giúp chúng tôi xác định và sửa lỗi, cải thiện tốc độ tải trang.
• Cookie chức năng (Functional): Ghi nhớ tùy chọn của bạn như ngôn ngữ, bố cục giao diện, mức cược yêu thích để cá nhân hóa trải nghiệm.
• Cookie phân tích (Analytics): Phân tích xu hướng sử dụng tổng thể để hỗ trợ quyết định phát triển sản phẩm. Dữ liệu được tổng hợp và ẩn danh hóa trước khi phân tích.

Bạn có thể quản lý tùy chọn cookie trong phần cài đặt trình duyệt của mình. Lưu ý rằng việc tắt cookie thiết yếu có thể khiến một số tính năng của Nền Tảng không hoạt động đúng cách.

Theo pháp luật Việt Nam về bảo vệ dữ liệu cá nhân, bạn có đầy đủ các quyền sau đây đối với dữ liệu cá nhân của mình tại sun20: