Chính Sách Bảo Mật km38

Chính sách Bảo mật này ("Chính Sách") được ban hành bởi km38 — nền tảng cá cược và giải trí trực tuyến vận hành tại km38.org. Chính Sách này mô tả các thực hành xử lý dữ liệu cá nhân của chúng tôi, bao gồm loại dữ liệu nào được thu thập, mục đích thu thập là gì, và các quyền của bạn với tư cách là chủ thể dữ liệu.

km38 hoạt động theo nguyên tắc Privacy by Design — bảo mật và quyền riêng tư được tích hợp ngay từ giai đoạn thiết kế hệ thống, không phải là biện pháp bổ sung sau cùng. Mọi hệ thống, quy trình và tính năng mới đều trải qua đánh giá tác động bảo vệ dữ liệu trước khi được triển khai.

Chính Sách này áp dụng cho tất cả người dùng đã đăng ký hoặc đang duyệt nền tảng km38.org, bao gồm người dùng tại Hà Nội, TP. Hồ Chí Minh, Đà Nẵng và tất cả các tỉnh thành khác trên lãnh thổ Việt Nam.

km38 chỉ thu thập những dữ liệu cần thiết, đủ để cung cấp dịch vụ an toàn và chất lượng cao. Chúng tôi không thu thập dữ liệu dư thừa hay không liên quan đến mục đích dịch vụ.

km38 sử dụng dữ liệu cá nhân của bạn cho các mục đích cụ thể, rõ ràng và hợp pháp sau:

• Cung cấp và vận hành dịch vụ: Xác thực danh tính đăng nhập, xử lý giao dịch tài chính, duy trì và quản lý tài khoản người dùng, ghi nhận lịch sử cá cược và chiến thắng.
• Xác minh danh tính (KYC): Tuân thủ quy định phòng chống rửa tiền, xác minh độ tuổi 18+ và đảm bảo người chơi không thuộc danh sách bị cấm.
• Bảo mật và phòng chống gian lận: Phát hiện và ngăn chặn các hoạt động đáng ngờ, bảo vệ người dùng khỏi truy cập trái phép và gian lận tài chính.
• Cải thiện dịch vụ: Phân tích hành vi sử dụng (ẩn danh hóa) để cải thiện giao diện, hiệu suất hệ thống và trải nghiệm người dùng.
• Hỗ trợ khách hàng: Xử lý khiếu nại, trả lời câu hỏi và cung cấp hỗ trợ kỹ thuật cho người dùng bằng tiếng Việt.
• Thông tin về ưu đãi: Gửi thông báo về khuyến mãi, bonus và các chương trình phần thưởng nếu bạn đã đồng ý nhận — với quyền hủy đăng ký bất kỳ lúc nào.
• Tuân thủ pháp luật: Lưu giữ hồ sơ theo yêu cầu pháp lý và hợp tác với cơ quan có thẩm quyền khi có yêu cầu hợp lệ.

km38 xử lý dữ liệu cá nhân của bạn dựa trên một hoặc nhiều cơ sở pháp lý sau:

• Thực hiện hợp đồng: Xử lý dữ liệu là cần thiết để thực hiện dịch vụ theo thỏa thuận giữa km38 và người dùng khi đăng ký tài khoản.
• Sự đồng ý: Đối với các mục đích tùy chọn như gửi email tiếp thị hoặc phân tích cá nhân hóa, km38 chỉ xử lý khi có sự đồng ý rõ ràng và có thể rút lại của bạn.
• Lợi ích hợp pháp: Phát hiện và phòng chống gian lận, bảo mật hệ thống, và cải thiện dịch vụ nhằm phục vụ tốt hơn tập thể người dùng.
• Nghĩa vụ pháp lý: Tuân thủ các quy định về lưu trữ hồ sơ tài chính, xác minh danh tính và báo cáo giao dịch đáng ngờ theo yêu cầu pháp luật hiện hành.

km38 không bán dữ liệu cá nhân của bạn cho bất kỳ bên thứ ba nào với mục đích thương mại — đây là cam kết không thể thỏa hiệp của chúng tôi. Trong một số trường hợp cụ thể, dữ liệu có thể được chia sẻ với:

• Đối tác xử lý thanh toán: MoMo, ZaloPay, VNPay, ViettelPay, Vietcombank, BIDV — chỉ nhận thông tin tối thiểu cần thiết để xử lý giao dịch, trong phạm vi hợp đồng bảo mật ràng buộc.
• Nhà cung cấp game: Các nhà cung cấp như Pragmatic Play, Evolution Gaming nhận dữ liệu ẩn danh hoặc bút danh để vận hành trò chơi — không nhận thông tin định danh thực.
• Nhà cung cấp hạ tầng: Các dịch vụ đám mây và máy chủ có nghĩa vụ bảo mật hợp đồng nghiêm ngặt — chỉ lưu trữ dữ liệu đã mã hóa.
• Cơ quan pháp luật: Khi có lệnh của tòa án hoặc yêu cầu hợp pháp từ cơ quan có thẩm quyền tại Việt Nam — km38 sẽ tuân thủ theo đúng quy trình pháp lý.
• Kiểm toán độc lập: Đơn vị kiểm tra bảo mật và kiểm toán RTP được phép truy cập dữ liệu hệ thống trong phạm vi hạn chế theo thỏa thuận bảo mật.

Dữ liệu cá nhân của bạn được lưu trữ trên các máy chủ bảo mật cao với các biện pháp kỹ thuật và tổ chức nghiêm ngặt:

• Mã hóa lưu trữ: Dữ liệu nhạy cảm được mã hóa AES-256 khi lưu trữ (at rest). Mật khẩu được băm bằng thuật toán bcrypt với salt ngẫu nhiên — ngay cả nhân viên km38 cũng không thể đọc mật khẩu của bạn.
• Mã hóa truyền tải: Mọi dữ liệu truyền giữa thiết bị của bạn và máy chủ km38 đều được bảo vệ bởi TLS 1.3 — tiêu chuẩn mã hóa tối tân nhất hiện nay.
• Kiểm soát truy cập: Chỉ nhân viên có thẩm quyền cụ thể mới được truy cập dữ liệu người dùng, và mọi truy cập đều được ghi lại trong nhật ký kiểm tra.
• Kiểm tra bảo mật định kỳ: Hệ thống km38 được kiểm tra thâm nhập (penetration testing) và đánh giá lỗ hổng bảo mật ít nhất mỗi 6 tháng bởi đơn vị độc lập.

Thời hạn lưu giữ dữ liệu: km38 giữ dữ liệu tài khoản trong suốt thời gian tài khoản còn hoạt động. Sau khi tài khoản bị đóng, dữ liệu được lưu giữ trong tối đa 5 năm để tuân thủ nghĩa vụ pháp lý về lưu trữ hồ sơ tài chính. Sau thời hạn đó, dữ liệu được xóa vĩnh viễn hoặc ẩn danh hóa hoàn toàn.

km38 sử dụng cookie và các công nghệ theo dõi tương tự để vận hành nền tảng hiệu quả. Cookie là các tệp văn bản nhỏ được lưu trên thiết bị của bạn khi truy cập km38.org.

• Cookie thiết yếu: Bắt buộc để duy trì phiên đăng nhập, bảo mật phiên và xử lý giao dịch. Không thể tắt mà không ảnh hưởng đến hoạt động cơ bản.
• Cookie hiệu suất: Thu thập thông tin ẩn danh về cách người dùng tương tác với nền tảng (trang nào được xem nhiều nhất, thời gian phiên v.v.) để cải thiện giao diện và tốc độ.
• Cookie tùy chỉnh: Ghi nhớ cài đặt cá nhân như ngôn ngữ (mặc định tiếng Việt), cài đặt hiển thị và trạng thái "Ghi nhớ đăng nhập".
• Cookie phân tích: Được sử dụng (sau khi có sự đồng ý) để hiểu hành vi tổng thể của người dùng — dữ liệu được ẩn danh hóa trước khi phân tích.

Bạn có thể kiểm soát cookie qua cài đặt trình duyệt. Tuy nhiên, việc tắt cookie thiết yếu có thể ảnh hưởng đến khả năng đăng nhập và sử dụng một số tính năng của km38.

Với tư cách là chủ thể dữ liệu, bạn có các quyền sau đây đối với dữ liệu cá nhân mà km38 đang xử lý:

Để thực hiện bất kỳ quyền nào ở trên, hãy liên hệ km38 qua email [email protected] với tiêu đề "Yêu cầu quyền bảo mật – [Mã tài khoản]". km38 sẽ xác minh danh tính và phản hồi trong vòng 30 ngày kể từ ngày nhận yêu cầu. Một số quyền có thể bị giới hạn bởi nghĩa vụ pháp lý, ví dụ như yêu cầu lưu giữ hồ sơ tài chính trong thời gian pháp luật quy định.

Dịch vụ của km38 hoàn toàn không dành cho người dưới 18 tuổi. km38 không cố ý thu thập hay xử lý dữ liệu cá nhân của người dưới 18 tuổi dưới bất kỳ hình thức nào.

Một phần dữ liệu người dùng có thể được lưu trữ hoặc xử lý tại các trung tâm dữ liệu ngoài lãnh thổ Việt Nam (ví dụ: tại Singapore hoặc Nhật Bản) thông qua hạ tầng đám mây của đối tác. Trong mọi trường hợp:

• Dữ liệu chuyển đi đều được mã hóa đầu cuối (end-to-end encryption) trước khi rời máy chủ gốc.
• Các quốc gia/vùng nhận dữ liệu phải có tiêu chuẩn bảo vệ dữ liệu cá nhân tương đương hoặc cao hơn.
• Tất cả đối tác hạ tầng đều ký kết Thỏa thuận Xử lý Dữ liệu (DPA) với km38 với các điều khoản bảo vệ người dùng Việt Nam.
• km38 duy trì quyền kiểm soát đầy đủ đối với dữ liệu và có thể thu hồi quyền truy cập của đối tác bất kỳ lúc nào.

Nền tảng km38 có thể chứa các liên kết đến hoặc tích hợp với dịch vụ của bên thứ ba như nhà cung cấp game, cổng thanh toán và các tài nguyên kỹ thuật bên ngoài. Chính Sách Bảo mật này chỉ áp dụng cho các hoạt động xử lý dữ liệu trực tiếp bởi km38.

km38 không chịu trách nhiệm về các thực hành bảo mật của bên thứ ba. Khi bạn rời nền tảng km38 để truy cập dịch vụ khác, chúng tôi khuyến nghị bạn đọc chính sách bảo mật của dịch vụ đó trước khi cung cấp bất kỳ thông tin cá nhân nào.

km38 có thể cập nhật Chính Sách Bảo mật này theo thời gian để phản ánh thay đổi trong thực hành xử lý dữ liệu, yêu cầu pháp lý mới, hoặc cải tiến dịch vụ. Khi có thay đổi đáng kể ảnh hưởng đến quyền riêng tư của bạn:

• km38 sẽ thông báo nổi bật trên nền tảng và cập nhật ngày "Cập nhật lần cuối" tại đầu trang.
• Đối với các thay đổi quan trọng (ví dụ: thay đổi mục đích xử lý hoặc danh sách đối tác chia sẻ dữ liệu mới), km38 sẽ gửi thông báo trực tiếp đến người dùng và thu thập sự đồng ý mới nếu cần.
• Nếu bạn không đồng ý với các thay đổi, bạn có quyền yêu cầu xóa tài khoản và dữ liệu trước khi thay đổi có hiệu lực.

Mọi thắc mắc, yêu cầu thực hiện quyền hoặc báo cáo về vấn đề bảo mật liên quan đến km38, vui lòng liên hệ:

• Email bảo mật chuyên biệt: [email protected] — Ghi rõ tiêu đề "Vấn đề bảo mật / Yêu cầu quyền riêng tư"
• Thời gian phản hồi: Câu hỏi thông thường trong 24 giờ; yêu cầu thực hiện quyền trong 30 ngày làm việc
• Hỗ trợ khẩn cấp: Liên hệ CSKH qua Zalo hoặc Telegram 24/7 nếu nghi ngờ tài khoản bị truy cập trái phép — trường hợp này được ưu tiên xử lý ngay lập tức
• Báo cáo lỗ hổng bảo mật: Nếu bạn phát hiện lỗ hổng bảo mật trên nền tảng km38, hãy báo cáo có trách nhiệm qua email bảo mật thay vì công bố công khai — km38 xem xét nghiêm túc mọi báo cáo và có chương trình thưởng cho các phát hiện có giá trị.