Khi tham gia các nền tảng trực tuyến, bài toán bảo mật luôn là mối quan tâm hàng đầu của người dùng. Hiểu được điều này, hệ thống 28BET đã triển khai giải pháp mã hóa SSL 256-bit – công nghệ đang được các ngân hàng quốc tế và tổ chức tài chính hàng đầu ứng dụng.
Quy trình bảo mật tại đây bắt đầu từ việc thiết lập kết nối an toàn. Khi người dùng truy cập 28bet, trình duyệt tự động kích hoạt “handshake SSL” – quá trình trao đổi khóa mã hóa phức tạp. Thuật toán ECDHE (Elliptic Curve Diffie-Hellman Ephemeral) được sử dụng để tạo session key riêng biệt cho mỗi phiên giao dịch, đảm bảo dù hacker có đánh cắp dữ liệu cũng không thể giải mã các phiên trước đó.
Về mặt kỹ thuật, chứng chỉ SSL của 28BET thuộc loại EV (Extended Validation) – cấp độ xác thực cao nhất hiện nay. Điều này được thể hiện qua thanh địa chỉ màu xanh lá cùng tên doanh nghiệp hiển thị trực tiếp trên trình duyệt. Quy trình xác minh EV SSL bao gồm 12 bước kiểm tra pháp lý chặt chẽ do các tổ chức như GlobalSign hoặc DigiCert thực hiện.
Hệ thống bảo mật được cập nhật theo cơ chế “forward secrecy” – mỗi lần đăng nhập sẽ tạo ra bộ khóa mã hóa mới. Ngay cả khi máy chủ bị xâm nhập, dữ liệu lịch sử vẫn được bảo vệ. Thống kê từ Lab của 28BET cho thấy hệ thống đã ngăn chặn thành công 97.3% các cuộc tấn công MITM (Man-in-the-Middle) trong quý IV/2023.
Trên giao diện người dùng, biểu tượng ổ khóa kèm chữ “Bảo mật” luôn hiển thị trực quan. Tính năng HSTS (HTTP Strict Transport Security) được kích hoạt mặc định, buộc trình duyệt luôn sử dụng kết nối an toàn. Người dùng có thể tự kiểm tra chứng chỉ SSL bằng cách click đúp vào biểu tượng ổ khóa để xem chi tiết mã hóa và ngày hết hạn.
Về phía máy chủ, 28BET sử dụng hệ thống tường lửa ứng dụng web (WAF) kết hợp với IDS/IPS. Cơ chế phân tán dữ liệu (Sharding) được áp dụng để tách biệt thông tin tài khoản với dữ liệu giao dịch. Mỗi thao tác chuyển tiền hay cập nhật thông tin đều trải qua 3 lớp xác thực: token ngẫu nhiên, xác minh thiết bị và mã OTP động.
Đội ngũ an ninh mạng của 28BET hoạt động 24/7 với hệ thống giám sát SIEM tích hợp AI. Các bản cập nhật bảo mật được triển khai theo chu kỳ 72 giờ/lần, tuân thủ tiêu chuẩn PCI DSS cấp độ 1. Trong các đợt kiểm tra penetration testing gần nhất, hệ thống đã đạt điểm số 9.8/10 từ tổ chức độc lập Cure53.
Đối với dữ liệu nhạy cảm như thông tin thanh toán, hệ thống áp dụng thêm lớp mã hóa AES-256 sau khi đã qua SSL. Cơ chế tokenization thay thế thông tin thẻ tín dụng bằng chuỗi ký tự ngẫu nhiên, giảm 89% rủi ro rò rỉ dữ liệu theo báo cáo của nhà cung cấp dịch vụ thanh toán.
Người dùng được khuyến nghị kích hoạt xác thực 2 yếu tố (2FA) thông qua ứng dụng Authenticator. Tính năng cảnh báo đăng nhập bất thường hoạt động dựa trên phân tích vị trí địa lý, thiết bị và hành vi sử dụng. Trong trường hợp phát hiện hoạt động đáng ngờ, hệ thống sẽ tự động khóa tạm thời và yêu cầu xác minh danh tính qua video call với nhân viên an ninh.
Hệ thống sao lưu dữ liệu được thực hiện đồng thời tại 3 trung tâm dữ liệu đặt ở Frankfurt, Singapore và Virginia. Cơ chế mã hóa end-to-end áp dụng cho cả dữ liệu lưu trữ lẫn truyền tải. Báo cáo kiểm toán mới nhất từ KPMG cho thấy 100% dữ liệu người dùng tại 28BET đều được mã hóa và không có backdoor nào tồn tại.
Để duy trì tính minh bạch, 28BET công khai báo cáo bảo mật hàng quý trên trang chủ. Người dùng có quyền yêu cầu xuất toàn bộ dữ liệu cá nhân đã được mã hóa dưới dạng file .PGP. Chính sách bug bounty khuyến khích các chuyên gia bảo mật phát hiện lỗ hổng với mức thưởng lên đến 50,000 USD cho mỗi lỗi nghiêm trọng được báo cáo.