Chính Sách Bảo Mật
Dữ Liệu Cá Nhân tại sun20

Chính sách Bảo mật này được ban hành bởi sun20 (sau đây gọi là "chúng tôi"), vận hành nền tảng cá cược và giải trí trực tuyến tại địa chỉ sun20.lat và các tên miền liên quan. Chính sách này mô tả cách chúng tôi thu thập, sử dụng, lưu trữ, chia sẻ và bảo vệ thông tin cá nhân của bạn khi bạn sử dụng bất kỳ dịch vụ nào của sun20.

Chính sách này áp dụng cho tất cả người dùng đã đăng ký hoặc chưa đăng ký tài khoản, bao gồm người dùng truy cập qua trình duyệt web, bất kể địa điểm địa lý. Bằng việc sử dụng dịch vụ sun20, bạn xác nhận đã đọc, hiểu và đồng ý với các điều khoản trong Chính sách Bảo mật này.

Chúng tôi xử lý dữ liệu cá nhân với vai trò là Đơn vị kiểm soát dữ liệu (Data Controller) và tuân thủ các nguyên tắc bảo vệ dữ liệu cá nhân theo quy định của pháp luật hiện hành, bao gồm nguyên tắc minh bạch, mục đích hạn chế, tối thiểu hóa dữ liệu, chính xác, giới hạn lưu trữ, toàn vẹn và bảo mật.

2.1 Dữ liệu bạn cung cấp trực tiếp

2.2 Dữ liệu thu thập tự động

Khi bạn sử dụng dịch vụ sun20, hệ thống tự động ghi lại:

• Địa chỉ IP, loại và phiên bản trình duyệt, hệ điều hành.
• Lịch sử truy cập trang, thời gian phiên làm việc, các tính năng đã sử dụng.
• Lịch sử cá cược và giao dịch tài chính (bắt buộc theo quy định pháp lý).
• Dữ liệu log hệ thống để phát hiện và ngăn chặn gian lận.
• Thông tin thiết bị: ID thiết bị, cấu hình màn hình, múi giờ.

2.3 Dữ liệu từ bên thứ ba

Trong một số trường hợp, sun20 có thể nhận thông tin về bạn từ các nhà cung cấp dịch vụ xác minh danh tính bên thứ ba (dịch vụ eKYC), từ các đối tác thanh toán như MoMo và ZaloPay (chỉ để xác nhận giao dịch), hoặc từ các công cụ phân tích lưu lượng truy cập ẩn danh.

sun20 sử dụng thông tin cá nhân của bạn cho các mục đích sau:

• Cung cấp và vận hành dịch vụ: Tạo và quản lý tài khoản, xử lý giao dịch nạp/rút tiền, cho phép tham gia game và cá cược.
• Xác minh danh tính (KYC/AML): Tuân thủ quy định phòng chống rửa tiền và xác minh độ tuổi tối thiểu 18 tuổi theo quy định pháp luật.
• Bảo mật và phát hiện gian lận: Giám sát hoạt động bất thường, ngăn chặn đa tài khoản, phát hiện sử dụng bot hoặc phần mềm gian lận.
• Hỗ trợ khách hàng: Phản hồi khiếu nại, giải quyết tranh chấp, hỗ trợ kỹ thuật và tài chính qua đội ngũ CSKH tiếng Việt 24/7.
• Cải thiện sản phẩm: Phân tích hành vi sử dụng (dạng ẩn danh tổng hợp) để cải thiện giao diện, trải nghiệm game và tính năng mới.
• Tiếp thị (với sự đồng ý): Gửi thông báo khuyến mãi, ưu đãi dành riêng và tin tức về sun20 khi bạn đã đồng ý nhận. Bạn có thể hủy đăng ký bất kỳ lúc nào.
• Tuân thủ pháp luật: Lưu trữ hồ sơ tài chính theo yêu cầu pháp lý, phối hợp với cơ quan có thẩm quyền khi có lệnh hợp pháp.

Mỗi mục đích xử lý dữ liệu của sun20 đều dựa trên ít nhất một trong các cơ sở pháp lý sau:

• Thực hiện hợp đồng: Xử lý cần thiết để cung cấp dịch vụ mà bạn đã đăng ký sử dụng (vận hành tài khoản, xử lý thanh toán).
• Sự đồng ý: Các trường hợp bạn đã chủ động đồng ý (ví dụ: nhận email marketing). Bạn có quyền rút lại sự đồng ý bất kỳ lúc nào.
• Lợi ích hợp pháp: Phát hiện gian lận, bảo mật hệ thống và cải thiện dịch vụ – những hoạt động không vi phạm quyền lợi cơ bản của bạn.
• Nghĩa vụ pháp lý: Lưu trữ hồ sơ tài chính, tuân thủ quy định AML/KYC và phối hợp với cơ quan có thẩm quyền khi pháp luật yêu cầu.

sun20 cam kết không bán thông tin cá nhân của bạn cho bất kỳ bên thứ ba nào vì mục đích thương mại. Chúng tôi chỉ chia sẻ dữ liệu trong các trường hợp hạn chế và có kiểm soát sau đây:

• Đối tác cung cấp dịch vụ: Các nhà phát hành game (PG Soft, Pragmatic Play, Evolution Gaming), nhà cung cấp thanh toán (MoMo, ZaloPay, VNPay), dịch vụ xác minh KYC – chỉ nhận dữ liệu tối thiểu cần thiết và ký thỏa thuận bảo mật dữ liệu với sun20.
• Yêu cầu pháp lý: Khi có lệnh của tòa án, cơ quan điều tra hoặc cơ quan quản lý có thẩm quyền. sun20 sẽ thông báo cho bạn nếu pháp luật không cấm.
• Bảo vệ quyền lợi: Khi cần thiết để ngăn chặn gian lận, hành vi phạm tội hoặc bảo vệ quyền lợi hợp pháp của sun20 và người dùng.
• Chuyển nhượng doanh nghiệp: Trong trường hợp sáp nhập hoặc chuyển nhượng tài sản, dữ liệu có thể chuyển sang đơn vị kế thừa với cùng cam kết bảo mật.

6.1 Hạ tầng bảo mật kỹ thuật

sun20 áp dụng các biện pháp kỹ thuật và tổ chức nghiêm ngặt để bảo vệ dữ liệu cá nhân:

• Mã hóa dữ liệu truyền tải bằng giao thức TLS 1.3 với chứng chỉ SSL 256-bit.
• Mã hóa dữ liệu lưu trữ (data at rest) bằng thuật toán AES-256.
• Tường lửa đa lớp, hệ thống phát hiện xâm nhập (IDS/IPS) và giám sát 24/7.
• Kiểm soát truy cập nội bộ theo nguyên tắc "quyền tối thiểu" – nhân viên chỉ được truy cập dữ liệu cần thiết cho công việc của họ.
• Kiểm thử bảo mật định kỳ (penetration testing) bởi bên thứ ba độc lập ít nhất mỗi 6 tháng.
• Sao lưu dữ liệu tự động hàng ngày với khả năng khôi phục trong vòng 4 giờ.

6.2 Vị trí lưu trữ dữ liệu

Dữ liệu cá nhân của người dùng Việt Nam được lưu trữ trên máy chủ đặt tại các trung tâm dữ liệu trong khu vực châu Á – Thái Bình Dương. Trong một số trường hợp kỹ thuật, dữ liệu có thể được xử lý tạm thời tại máy chủ ở quốc gia khác, nhưng luôn được bảo vệ bởi các biện pháp bảo mật tương đương.

6.3 Quy trình xử lý vi phạm dữ liệu

Trong trường hợp xảy ra vi phạm dữ liệu có thể gây hại cho người dùng, sun20 cam kết thông báo cho những người dùng bị ảnh hưởng trong vòng 72 giờ kể từ khi phát hiện, cùng với thông tin về bản chất vi phạm, dữ liệu bị ảnh hưởng và các biện pháp khắc phục đã thực hiện.

sun20 sử dụng cookie và các công nghệ tương tự để cải thiện trải nghiệm người dùng và phân tích lưu lượng truy cập. Dưới đây là các loại cookie chúng tôi sử dụng:

Bạn có thể quản lý cookie thông qua cài đặt trình duyệt của mình hoặc thông qua bảng điều khiển cookie của sun20. Tuy nhiên, việc vô hiệu hóa cookie thiết yếu có thể ảnh hưởng đến khả năng đăng nhập và sử dụng các tính năng cốt lõi của nền tảng.

Với tư cách là chủ thể dữ liệu, bạn có đầy đủ các quyền sau đây đối với thông tin cá nhân của mình tại sun20:

Để thực hiện bất kỳ quyền nào nêu trên, vui lòng gửi yêu cầu đến [email protected] với tiêu đề "Yêu cầu quyền dữ liệu cá nhân – [Họ và tên]". sun20 sẽ phản hồi trong vòng 30 ngày làm việc kể từ khi nhận được yêu cầu hợp lệ.

sun20 chỉ lưu giữ dữ liệu cá nhân trong thời gian cần thiết để thực hiện mục đích ban đầu hoặc tuân thủ quy định pháp lý:

• Dữ liệu tài khoản hoạt động: Trong suốt thời gian tài khoản còn hoạt động cộng thêm 5 năm sau khi đóng tài khoản (yêu cầu pháp lý AML).
• Hồ sơ giao dịch tài chính: Tối thiểu 5 năm kể từ ngày giao dịch theo quy định kế toán và phòng chống rửa tiền.
• Dữ liệu xác minh KYC: Tối thiểu 5 năm sau khi mối quan hệ kinh doanh kết thúc.
• Log bảo mật và chống gian lận: 2 năm.
• Cookie phân tích: 90 ngày tính từ ngày tạo.
• Email tiếp thị: Đến khi bạn hủy đăng ký hoặc tài khoản bị đóng.

Sau khi hết thời hạn lưu trữ, dữ liệu sẽ được xóa an toàn (secure deletion) hoặc ẩn danh hóa hoàn toàn để không thể liên kết lại với cá nhân bạn.

Nếu bạn là phụ huynh hoặc người giám hộ và tin rằng con em của bạn đã cung cấp thông tin cá nhân cho sun20 mà không có sự đồng ý của bạn, vui lòng liên hệ ngay với chúng tôi qua email [email protected] để được xử lý khẩn cấp.

sun20 có thể cập nhật Chính sách Bảo mật này định kỳ để phản ánh những thay đổi trong hoạt động của chúng tôi, trong quy định pháp luật hoặc trong tiêu chuẩn ngành. Khi có thay đổi đáng kể:

• Chúng tôi sẽ thông báo qua email đến địa chỉ đăng ký của bạn ít nhất 7 ngày trước khi thay đổi có hiệu lực.
• Thông báo nổi bật sẽ được hiển thị trên nền tảng sun20.lat khi bạn đăng nhập lần tiếp theo.
• Ngày "Cập nhật lần cuối" ở đầu trang sẽ được cập nhật tương ứng.
• Đối với những thay đổi quan trọng ảnh hưởng đến quyền của bạn, chúng tôi có thể yêu cầu bạn xác nhận đồng ý trước khi tiếp tục sử dụng dịch vụ.

Nếu bạn có câu hỏi về Chính sách Bảo mật này, muốn thực hiện quyền dữ liệu cá nhân, hoặc có khiếu nại về cách sun20 xử lý thông tin của bạn, vui lòng liên hệ:

• Email phụ trách bảo mật dữ liệu: [email protected]
• Tiêu đề email gợi ý: "Chính sách bảo mật – [Nội dung yêu cầu]"
• Ngôn ngữ hỗ trợ: Tiếng Việt (ưu tiên) và tiếng Anh.
• Thời gian phản hồi: Trong vòng 48 giờ làm việc với câu hỏi thông thường; 30 ngày làm việc với yêu cầu quyền dữ liệu chính thức.