Đăng Ký

Chính Sách Bảo Mật MM66 – Kiến Trúc Bảo Vệ Đa Lớp

Bảo mật không phải tính năng phụ — đó là nền tảng cốt lõi. MM66 áp dụng các tiêu chuẩn bảo mật cấp ngân hàng để mọi giao dịch và thông tin cá nhân của bạn luôn được giữ an toàn tuyệt đối

Kiến Trúc Bảo Mật Tổng Thể

MM66 xây dựng hệ thống bảo mật theo mô hình phòng thủ theo chiều sâu (Defense in Depth) — nghĩa là ngay cả khi một lớp bị vượt qua, vẫn còn nhiều lớp bảo vệ khác ngăn chặn trước khi dữ liệu thực sự bị xâm phạm. Dưới đây là toàn bộ kiến trúc bảo mật theo từng cấp độ.

🌐

Lớp 1: Mã Hóa Truyền Dữ Liệu

  • TLS 1.3 cho toàn bộ kết nối HTTPS — phiên bản mới nhất, loại bỏ các cipher suite yếu
  • HTTP Strict Transport Security (HSTS) với max-age 2 năm, ngăn chặn downgrade attack
  • Certificate Transparency logging — phát hiện ngay nếu có chứng chỉ giả mạo được cấp cho mm66.fit
  • OCSP Stapling — kiểm tra revocation chứng chỉ tức thời, không phụ thuộc CA server
🗄️

Lớp 2: Mã Hóa Dữ Liệu Lưu Trữ

  • AES-256-GCM cho toàn bộ dữ liệu người dùng trong database — bao gồm thông tin cá nhân, lịch sử giao dịch và số dư
  • Key management riêng biệt: encryption keys lưu trong Hardware Security Module (HSM), không bao giờ ở cùng server với data
  • Mật khẩu lưu dạng hash Argon2id với salt ngẫu nhiên 32 bytes — không thể giải mã ngay cả với quyền truy cập database trực tiếp
  • Database backup mã hóa, lưu tại 3 vị trí địa lý riêng biệt
🔑

Lớp 3: Xác Thực Đa Yếu Tố

  • 2FA bắt buộc cho mọi lệnh rút tiền — OTP 6 số qua SMS hoặc app authenticator (TOTP RFC 6238)
  • Tùy chọn: kích hoạt 2FA cho cả đăng nhập — khuyến nghị mạnh cho tài khoản số dư cao
  • Backup codes 10 ký tự × 8 mã — dùng khi mất thiết bị 2FA, mỗi code chỉ dùng 1 lần
  • App mobile: sinh trắc học (Face ID/Fingerprint) thay thế hoàn toàn mật khẩu cho đăng nhập thường ngày
🤖

Lớp 4: AI Phát Hiện Hành Vi Bất Thường

  • Mô hình ML phân tích hành vi: vị trí địa lý, thiết bị, giờ hoạt động, pattern cược
  • Nếu phát hiện bất thường (ví dụ: đăng nhập từ IP lạ lúc 3h sáng), hệ thống tự động tạm khóa giao dịch và gửi email xác nhận
  • Phân tích 47 tín hiệu hành vi trong thời gian thực, phản hồi trong dưới 200ms
  • Tự học theo hành vi thực tế của từng tài khoản — giảm false positive theo thời gian
🛡️

Lớp 5: Bảo Vệ Hạ Tầng

  • Web Application Firewall (WAF) lọc SQL injection, XSS, CSRF và 2.000+ loại tấn công web phổ biến
  • DDoS protection tới 10 Tbps — hệ thống vẫn hoạt động bình thường ngay cả khi bị tấn công quy mô lớn
  • Rate limiting theo IP và tài khoản: tối đa 5 lần đăng nhập sai trước khi khóa tạm 30 phút
  • Intrusion Detection System (IDS) giám sát 24/7, cảnh báo ngay khi phát hiện hành vi xâm nhập

Dữ Liệu Cá Nhân Chúng Tôi Thu Thập

MM66 chỉ thu thập dữ liệu thực sự cần thiết để vận hành dịch vụ và đảm bảo bảo mật. Chúng tôi không bán, không cho thuê và không chia sẻ thông tin cá nhân với bên thứ ba cho mục đích thương mại.

Dữ Liệu Thu Thập Khi Đăng Ký

  • Tên hiển thị (username) — không bắt buộc là tên thật
  • Địa chỉ email — dùng để gửi thông báo giao dịch và khôi phục tài khoản
  • Số điện thoại — dùng cho xác thực 2FA và liên hệ hỗ trợ khẩn
  • Thông tin tài khoản ngân hàng/ví điện tử — chỉ lưu số tài khoản được xác minh để rút tiền

Dữ Liệu Thu Thập Tự Động

  • Địa chỉ IP — dùng để phát hiện đăng nhập bất thường và tuân thủ quy định địa lý
  • User agent trình duyệt/thiết bị — phục vụ tối ưu hóa giao diện
  • Lịch sử cược và giao dịch — lưu trữ tối thiểu 7 năm theo yêu cầu pháp lý
  • Session logs — xóa tự động sau 90 ngày nếu không có sự kiện bảo mật

Dữ Liệu Chúng Tôi KHÔNG Thu Thập

  • CMND/CCCD, hộ chiếu hoặc bất kỳ giấy tờ tùy thân nào
  • Thông tin thẻ tín dụng/ghi nợ — chúng tôi không xử lý thẻ trực tiếp
  • Dữ liệu sinh trắc học — Face ID/Fingerprint xử lý hoàn toàn trên thiết bị, không gửi về server
  • Nội dung cuộc trò chuyện với hỗ trợ sau 180 ngày — xóa hoàn toàn theo lịch

Quyền Của Người Dùng Đối Với Dữ Liệu Cá Nhân

MM66 tôn trọng quyền kiểm soát dữ liệu của bạn. Dưới đây là các quyền bạn có thể thực hiện bất cứ lúc nào:

Quyền Truy Cập

Yêu cầu xuất toàn bộ dữ liệu cá nhân MM66 đang lưu trữ về bạn, bao gồm lịch sử cược, giao dịch và nhật ký đăng nhập. Xuất file JSON trong vòng 72 giờ kể từ yêu cầu.

Quyền Chỉnh Sửa

Cập nhật email, số điện thoại, thông tin tài khoản ngân hàng bất cứ lúc nào trong phần Hồ sơ. Thay đổi nhạy cảm yêu cầu xác thực 2FA.

Quyền Xóa (Right to Erasure)

Yêu cầu đóng tài khoản và xóa toàn bộ dữ liệu cá nhân. Lưu ý: lịch sử giao dịch tài chính phải giữ 7 năm theo quy định pháp lý — các dữ liệu còn lại sẽ được xóa trong 30 ngày.

Quyền Hạn Chế Xử Lý

Yêu cầu tạm dừng sử dụng dữ liệu của bạn trong khi đang khiếu nại hoặc xem xét. Tài khoản vẫn hoạt động nhưng dữ liệu không được dùng cho phân tích marketing.

Quyền Phản Đối

Từ chối nhận email marketing, thông báo khuyến mãi. Hủy đăng ký một click từ bất kỳ email nào hoặc trong Hồ sơ → Thông báo.

Quyền Khiếu Nại

Nếu cho rằng dữ liệu bị xử lý sai, liên hệ support@mm66.fit với tiêu đề "[GDPR] Khiếu nại dữ liệu". Chúng tôi phản hồi trong 5 ngày làm việc.

Quy Trình Xử Lý Sự Cố Bảo Mật

Phát Hiện và Phân Loại

Hệ thống giám sát tự động phân loại sự cố theo 4 cấp độ nghiêm trọng: P1 (khẩn cấp — rò rỉ dữ liệu đang xảy ra), P2 (cao — nguy cơ truy cập trái phép), P3 (trung bình — bất thường cần điều tra), P4 (thấp — hoạt động đáng ngờ nhưng chưa xác nhận). Cảnh báo P1 và P2 kích hoạt đội bảo mật 24/7 ngay lập tức.

Thông Báo Người Dùng

Nếu sự cố ảnh hưởng đến dữ liệu cá nhân của bạn, MM66 cam kết thông báo qua email trong 72 giờ kể từ khi xác nhận — bao gồm: loại dữ liệu bị ảnh hưởng, thời gian xảy ra, các biện pháp khắc phục đã thực hiện và khuyến nghị hành động cho bạn.

Hành Động Phòng Ngừa Ngay Lập Tức

Khi phát hiện sự cố nghiêm trọng, hệ thống tự động: thu hồi toàn bộ session token của tài khoản liên quan, yêu cầu đặt lại mật khẩu, tạm khóa giao dịch rút tiền cho đến khi xác minh lại danh tính chủ tài khoản.

Chính Sách Cookies và Theo Dõi

MM66 sử dụng cookies tối thiểu, chỉ bao gồm:

  • Session cookie: Lưu trạng thái đăng nhập — xóa tự động khi đóng trình duyệt
  • Preference cookie: Lưu cài đặt giao diện (ngôn ngữ, bố cục) — giữ 1 năm
  • Analytics cookie: Đo lường lưu lượng ẩn danh (không gắn với tài khoản cụ thể) — giữ 30 ngày

MM66 không sử dụng cookie theo dõi quảng cáo, pixel Facebook, Google Analytics cá nhân hóa hoặc bất kỳ cookie bên thứ ba nào gắn liên kết hành vi của bạn ra ngoài domain mm66.fit.

Liên Hệ Về Bảo Mật

Nếu phát hiện lỗ hổng bảo mật trên nền tảng MM66, vui lòng báo cáo có trách nhiệm (responsible disclosure) qua email support@mm66.fit với tiêu đề "[Security] Báo cáo lỗ hổng". Chúng tôi có chương trình Bug Bounty và sẽ ghi nhận mọi báo cáo hợp lệ.

Với các vấn đề bảo mật tài khoản khẩn cấp, liên hệ ngay qua Telegram @mm66bet — đội hỗ trợ trực tuyến 24/7.

Xem Thêm