🔒 Chính Sách Bảo Mật CM87

Kiến Trúc Zero-Trust – Không Tin Ai, Xác Minh Tất Cả

CM87 ứng dụng Zero-Trust Architecture (ZTA) — mô hình bảo mật thế hệ mới không tin tưởng mặc định bất kỳ ai, kể cả nhân viên nội bộ. Mọi yêu cầu truy cập hệ thống đều phải qua xác thực đầy đủ, kiểm tra quyền theo ngữ cảnh và ghi log chi tiết. Đây là tiêu chuẩn được các ngân hàng lớn và tổ chức chính phủ áp dụng toàn cầu.

Xác Thực 2 Lớp Bằng Hardware Token

Ngoài mật khẩu thông thường, CM87 hỗ trợ các phương thức xác thực 2 lớp (2FA):

• TOTP (Authenticator App): Google Authenticator, Microsoft Authenticator — mã OTP 6 số thay đổi mỗi 30 giây
• Hardware Security Key: Hỗ trợ FIDO2/WebAuthn với YubiKey và thiết bị tương tự — bảo mật vật lý cao nhất
• SMS OTP: Cho người dùng phổ thông — mã 6 số gửi về số điện thoại đăng ký
• Biometrics: Face ID/Touch ID trên app — đăng nhập nhanh và bảo mật

Mã Hóa End-to-End AES-256

Toàn bộ dữ liệu truyền tải giữa thiết bị người dùng và server CM87 được mã hóa bằng TLS 1.3 với cipher suite AES-256-GCM. Dữ liệu nhạy cảm lưu trữ (mật khẩu, thông tin ngân hàng) được mã hóa thêm bằng AES-256-CBC với khóa phân cấp. Ngay cả khi server bị xâm nhập vật lý, dữ liệu vẫn không thể đọc được.

AI Phát Hiện Gian Lận 3 Lớp

Hệ thống AI của CM87 giám sát giao dịch realtime qua 3 lớp độc lập:

• Lớp 1 – Behavioral Analysis: Phân tích hành vi đặt cược bất thường (tốc độ, pattern, mức cược đột biến)
• Lớp 2 – Network Fingerprinting: Xác định thiết bị và vị trí địa lý, phát hiện VPN/proxy đáng ngờ
• Lớp 3 – Transaction Graph: Phân tích mạng lưới giao dịch, phát hiện rửa tiền và tài khoản giả mạo

Khi AI phát hiện bất thường, tài khoản tạm thời bị giới hạn và chủ tài khoản nhận thông báo ngay lập tức để xác minh danh tính.

Quyền Của Người Dùng Đối Với Dữ Liệu Cá Nhân

Tuân thủ theo tiêu chuẩn GDPR và luật bảo vệ dữ liệu quốc tế, người dùng CM87 có đầy đủ các quyền:

• Quyền truy cập: Yêu cầu xem toàn bộ dữ liệu CM87 đang lưu về bạn
• Quyền sửa đổi: Cập nhật thông tin cá nhân bất kỳ lúc nào
• Quyền xóa: Yêu cầu xóa tài khoản và toàn bộ dữ liệu trong 30 ngày
• Quyền di chuyển: Xuất dữ liệu của bạn sang định dạng JSON/CSV
• Quyền phản đối: Từ chối cho CM87 xử lý dữ liệu cho mục đích marketing

Chính Sách Lưu Trữ Và Xóa Dữ Liệu

CM87 lưu trữ dữ liệu giao dịch tối đa 7 năm theo yêu cầu pháp lý từ Isle of Man GSC. Dữ liệu hành vi và phân tích được lưu tối đa 2 năm rồi tự động xóa. Sau khi đóng tài khoản, toàn bộ dữ liệu cá nhân được xóa trong 90 ngày, chỉ giữ lại log giao dịch theo yêu cầu pháp lý.

Báo Cáo Lỗ Hổng Bảo Mật

CM87 có chương trình Bug Bounty — thưởng tiền mặt cho bất kỳ ai phát hiện và báo cáo lỗ hổng bảo mật một cách có trách nhiệm. Mức thưởng từ 500 USD đến 50.000 USD tùy mức độ nghiêm trọng. Gửi báo cáo về: security@cm87.fit