Chính Sách Bảo Mật RWIM

Cam Kết Bảo Mật Của RWIM

RWIM xây dựng hệ thống bảo mật theo tiêu chuẩn ISO 27001 và PCI DSS Level 1 – chuẩn cao nhất ngành tài chính và giải trí trực tuyến. Mọi dữ liệu người dùng được mã hóa ngay tại thời điểm nhập, lưu trữ dưới dạng đã mã hóa, và chỉ giải mã khi cần thiết với quyền truy cập tối thiểu.

Chính sách này áp dụng cho tất cả người dùng đăng ký tài khoản tại rwim.online, bao gồm dữ liệu cá nhân, lịch sử giao dịch, thông tin thiết bị và hành vi sử dụng.

Kiến Trúc Bảo Mật 5 Lớp

L1

Lớp Mạng – TLS 1.3 & DDoS Protection

Toàn bộ lưu lượng kết nối đều qua giao thức TLS 1.3 (không hỗ trợ TLS 1.0/1.1 đã lỗi thời). Hệ thống phân tán CDN tại 12 điểm bảo vệ chống tấn công DDoS lên đến 1Tbps. Địa chỉ IP thật của server không bao giờ bị lộ ra ngoài.

L2

Lớp Ứng Dụng – WAF & Rate Limiting

Web Application Firewall (WAF) chặn các tấn công SQL Injection, XSS, CSRF theo quy tắc OWASP Top 10. Rate limiting tự động khóa IP thực hiện hơn 100 request/phút. Bot detection phân biệt người dùng thật và bot tự động.

L3

Lớp Xác Thực – 2FA & Chữ Ký Phiên

Hỗ trợ xác thực 2 yếu tố (2FA) qua Google Authenticator (TOTP RFC 6238) và SMS OTP 6 số. Mỗi phiên đăng nhập được ký bằng JWT RS256 với thời hạn 24 giờ. Đăng nhập từ thiết bị mới luôn yêu cầu xác minh email.

L4

Lớp Dữ Liệu – AES-256 & Phân Vùng

Dữ liệu nhạy cảm (CCCD, số tài khoản ngân hàng, thông tin thẻ) được mã hóa AES-256-GCM trước khi lưu vào database. Database được phân vùng cô lập theo loại dữ liệu – thông tin cá nhân, lịch sử giao dịch, và dữ liệu phiên nằm trên các hệ thống vật lý riêng biệt.

L5

Lớp AI – Phát Hiện Bất Thường Real-Time

Hệ thống AI học máy phân tích hành vi người dùng theo thời gian thực: vị trí địa lý, thiết bị, giờ truy cập, tốc độ thao tác. Khi phát hiện bất thường (đăng nhập từ quốc gia khác đột ngột, tốc độ thao tác bất thường), tài khoản bị tạm khóa và gửi cảnh báo tức thì.

Dữ Liệu RWIM Thu Thập & Mục Đích Sử Dụng

Loại Dữ Liệu	Ví Dụ	Mục Đích	Thời Gian Lưu
Thông tin đăng ký	Họ tên, email, SĐT	Xác thực tài khoản, liên lạc CSKH	Suốt thời gian sử dụng + 5 năm
Giấy tờ KYC	CCCD, ảnh selfie	Tuân thủ quy định AML/CTF	7 năm (yêu cầu pháp lý)
Lịch sử giao dịch	Nạp/rút, số tiền, thời gian	Kiểm toán, xử lý tranh chấp	7 năm (yêu cầu pháp lý)
Lịch sử cược	Game đã chơi, kèo đã đặt	Tính năng lịch sử, phân tích cải thiện dịch vụ	2 năm
Dữ liệu thiết bị	IP, User Agent, loại thiết bị	Phát hiện gian lận, bảo mật phiên	90 ngày
Cookie phiên	Token đăng nhập	Duy trì phiên đăng nhập	24 giờ (tự động xóa)

RWIM cam kết KHÔNG bán dữ liệu người dùng cho bất kỳ bên thứ ba nào vì mục đích thương mại. Dữ liệu chỉ được chia sẻ với đối tác thanh toán (theo hợp đồng bảo mật nghiêm ngặt) và cơ quan quản lý nhà nước khi có yêu cầu hợp pháp.

Hướng Dẫn Bật Xác Thực 2 Yếu Tố (2FA)

RWIM khuyến khích mạnh mẽ tất cả người dùng bật 2FA để bảo vệ tài khoản. Tài khoản có 2FA được nâng hạn mức rút tiền lên 200% so với tài khoản chưa bật.

01

Tải Google Authenticator

Cài đặt Google Authenticator từ App Store (iOS) hoặc Play Store (Android). Ứng dụng hoàn toàn miễn phí.

02

Vào Cài Đặt Bảo Mật RWIM

Đăng nhập RWIM → Hồ Sơ → Bảo Mật → Kích Hoạt 2FA. Màn hình hiển thị mã QR và secret key dự phòng.

03

Quét Mã QR

Mở Google Authenticator → Nhấn "+" → Quét mã QR trên màn hình RWIM. Tài khoản RWIM sẽ xuất hiện trong danh sách với mã 6 số tự đổi mỗi 30 giây.

04

Lưu Secret Key Dự Phòng

Sao chép và lưu secret key ở nơi an toàn (không phải trong điện thoại). Dùng key này để khôi phục 2FA nếu mất điện thoại.

Quyền Của Người Dùng Với Dữ Liệu Cá Nhân

👁️

Quyền Truy Cập

Yêu cầu xuất toàn bộ dữ liệu cá nhân RWIM đang lưu trữ về bạn. Phản hồi trong 72 giờ làm việc, file CSV/JSON.

✏️

Quyền Chỉnh Sửa

Cập nhật thông tin cá nhân (email, SĐT, địa chỉ) trực tiếp trong tài khoản. Thông tin KYC cần gửi yêu cầu qua CSKH.

🗑️

Quyền Xóa Dữ Liệu

Yêu cầu xóa tài khoản và dữ liệu cá nhân (trừ dữ liệu bắt buộc lưu theo pháp luật như KYC và lịch sử giao dịch).

🚫

Quyền Giới Hạn Cược

Tự đặt giới hạn cược ngày/tuần/tháng hoặc khóa tài khoản tạm thời 1–30 ngày. Hỗ trợ chơi có trách nhiệm.

Để thực hiện bất kỳ quyền nào ở trên, liên hệ: support@rwim.online với tiêu đề email "[YÊU CẦU DỮ LIỆU] – [Họ tên tài khoản]".

Chương Trình Bug Bounty

RWIM vận hành chương trình Bug Bounty – trả thưởng cho những người phát hiện và báo cáo lỗ hổng bảo mật một cách có trách nhiệm:

Critical (RCE, SQLi, Auth Bypass): Thưởng 5.000.000 – 20.000.000 VNĐ
High (XSS Stored, IDOR): Thưởng 1.000.000 – 5.000.000 VNĐ
Medium (XSS Reflected, CSRF): Thưởng 200.000 – 1.000.000 VNĐ
Low (Info Disclosure, Missing Headers): Thưởng 50.000 – 200.000 VNĐ

Báo cáo lỗ hổng qua email: security@rwim.online. Cam kết phản hồi trong 24 giờ và không truy cứu trách nhiệm với báo cáo thiện chí.

Cập Nhật Chính Sách

Chính sách bảo mật này được cập nhật lần cuối vào ngày 01/04/2025. Khi có thay đổi đáng kể, RWIM sẽ thông báo qua email và thông báo trong app trước ít nhất 7 ngày.

Nếu bạn không đồng ý với bất kỳ điều khoản nào trong chính sách cập nhật, bạn có quyền yêu cầu xóa tài khoản trước ngày chính sách mới có hiệu lực.