1. ภาพรวมด้านความปลอดภัย
ความปลอดภัยของข้อมูลลูกค้าคือรากฐานของ "Predictive PM" เนื่องจากแพลตฟอร์มของเราเชื่อมต่อกับโครงสร้างพื้นฐานไอทีที่สำคัญขององค์กร เราจึงออกแบบระบบโดยยึดหลัก "Security by Design" ตั้งแต่ชั้นโครงสร้างพื้นฐาน การพัฒนาซอฟต์แวร์ ไปจนถึงกระบวนการทำงานภายในทีม
หน้านี้สรุปมาตรการด้านความปลอดภัยหลักที่เราใช้ปกป้องข้อมูลของท่าน หากท่านต้องการเอกสารประกอบเพิ่มเติมสำหรับการประเมินความเสี่ยงด้าน Vendor (Vendor Security Assessment) สามารถติดต่อทีมงานของเราได้
2. การเข้ารหัสข้อมูล
ข้อมูลทั้งหมดที่รับส่งระหว่างเบราว์เซอร์หรือเซ็นเซอร์ของท่านกับแพลตฟอร์มของเรา ถูกเข้ารหัสระหว่างการส่งผ่าน (in transit) ด้วยมาตรฐาน TLS 1.2 ขึ้นไป
ข้อมูลที่จัดเก็บในระบบ (at rest) รวมถึงฐานข้อมูลและไฟล์สำรอง จะถูกเข้ารหัสตามมาตรฐานอุตสาหกรรม เพื่อป้องกันการเข้าถึงโดยไม่ได้รับอนุญาตแม้ในกรณีที่สื่อจัดเก็บข้อมูลสูญหายหรือถูกโจรกรรม
3. การควบคุมการเข้าถึง
เราจำกัดการเข้าถึงข้อมูลลูกค้าเฉพาะบุคลากรที่จำเป็นต้องใช้ในการปฏิบัติงาน (principle of least privilege) โดยใช้ระบบควบคุมสิทธิ์ตามบทบาท (Role-Based Access Control) และบังคับใช้การยืนยันตัวตนหลายปัจจัย (Multi-Factor Authentication) สำหรับระบบภายในและบัญชีผู้ดูแลระบบ
ทุกการเข้าถึงข้อมูลระดับสูงจะถูกบันทึกและตรวจสอบได้ (audit log) เพื่อให้สามารถสอบย้อนกลับได้ในกรณีจำเป็น
4. โครงสร้างพื้นฐานและการโฮสต์ระบบ
แพลตฟอร์มของเราทำงานบนผู้ให้บริการคลาวด์ระดับองค์กรที่ได้รับการรับรองมาตรฐานความปลอดภัยสากล ศูนย์ข้อมูลมีการควบคุมทั้งทางกายภาพ (physical security) และทางเครือข่าย (network segmentation, firewall) เพื่อแยกสภาพแวดล้อมของลูกค้าแต่ละรายออกจากกันอย่างเหมาะสม
5. การเฝ้าระวังและตรวจสอบระบบ
เรามีระบบเฝ้าระวังแบบต่อเนื่อง (continuous monitoring) เพื่อตรวจจับพฤติกรรมผิดปกติ ความพยายามเข้าถึงระบบโดยไม่ได้รับอนุญาต และความผิดปกติของประสิทธิภาพระบบ พร้อมระบบแจ้งเตือนอัตโนมัติไปยังทีมวิศวกรที่รับผิดชอบตลอด 24 ชั่วโมง
6. การจัดการช่องโหว่ด้านความปลอดภัย
ทีมของเราติดตามและติดตั้งแพตช์ความปลอดภัย (security patches) สำหรับซอฟต์แวร์และไลบรารีที่ใช้งานอย่างสม่ำเสมอ พร้อมทั้งจัดให้มีการทดสอบเจาะระบบ (penetration testing) และการสแกนหาช่องโหว่เป็นระยะ เพื่อค้นหาและแก้ไขจุดอ่อนก่อนที่จะถูกใช้ประโยชน์ในทางที่ผิด
7. แผนรับมือเหตุการณ์ด้านความปลอดภัย
เรามีกระบวนการรับมือเหตุการณ์ (Incident Response Plan) ที่กำหนดขั้นตอนการตรวจจับ ควบคุม แก้ไข และสื่อสารเมื่อเกิดเหตุการณ์ด้านความปลอดภัย หากเกิดเหตุการณ์ที่ส่งผลกระทบต่อข้อมูลส่วนบุคคลของท่าน เราจะแจ้งให้ท่านทราบตามระยะเวลาและช่องทางที่กฎหมาย PDPA กำหนด
8. การสำรองข้อมูลและความต่อเนื่องทางธุรกิจ
ข้อมูลของท่านจะถูกสำรอง (backup) อย่างสม่ำเสมอตามรอบที่กำหนด และจัดเก็บแยกจากระบบหลักเพื่อลดความเสี่ยงจากความเสียหายของข้อมูล เรามีแผนความต่อเนื่องทางธุรกิจ (Business Continuity Plan) และแผนกู้คืนระบบ (Disaster Recovery Plan) เพื่อรองรับสถานการณ์ฉุกเฉินและลดผลกระทบต่อการให้บริการ
9. มาตรฐานและการปฏิบัติตามกฎหมาย
เราดำเนินการให้สอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 (PDPA) และมุ่งพัฒนาสู่มาตรฐานสากลด้านความปลอดภัยข้อมูล เช่น ISO/IEC 27001 อย่างต่อเนื่อง หากท่านต้องการเอกสารรับรองหรือรายงานผลการประเมินความปลอดภัยเพื่อประกอบการพิจารณาของฝ่ายจัดซื้อ/ความเสี่ยงในองค์กรของท่าน สามารถติดต่อทีมงานได้
10. ความปลอดภัยด้านบุคลากร
พนักงานทุกคนที่เข้าถึงระบบหรือข้อมูลลูกค้าต้องผ่านการตรวจสอบประวัติตามความเหมาะสม ลงนามในข้อตกลงรักษาความลับ (NDA) และเข้ารับการอบรมด้านความปลอดภัยของข้อมูลและการรับรู้ภัยคุกคาม (security awareness training) เป็นประจำ
11. ผู้ให้บริการภายนอก (Sub-processors)
เราอาจใช้บริการผู้ให้บริการภายนอกบางส่วน เช่น ผู้ให้บริการคลาวด์โฮสติ้ง ผู้ให้บริการอีเมล และเครื่องมือวิเคราะห์ระบบ เพื่อสนับสนุนการให้บริการ โดยผู้ให้บริการทุกรายจะต้องปฏิบัติตามข้อตกลงรักษาความลับและมาตรฐานความปลอดภัยขั้นต่ำที่เรากำหนด รายชื่อผู้ให้บริการภายนอกฉบับเต็มสามารถขอได้ผ่านทีมงานของเรา
12. การรายงานช่องโหว่ด้านความปลอดภัย (Responsible Disclosure)
หากท่านพบช่องโหว่ด้านความปลอดภัยในระบบของเรา เรายินดีรับฟังและขอความร่วมมือให้ท่านรายงานผ่านช่องทางที่กำหนดด้านล่างอย่างรับผิดชอบ (responsible disclosure) โดยไม่เปิดเผยต่อสาธารณะก่อนที่เราจะได้แก้ไขปัญหา ทีมงานจะตอบกลับและประเมินความรุนแรงของรายงานทุกฉบับโดยเร็วที่สุด
13. การเปลี่ยนแปลงมาตรการด้านความปลอดภัย
เราอาจปรับปรุงมาตรการและเนื้อหาในหน้านี้เป็นครั้งคราวเพื่อให้สอดคล้องกับภัยคุกคามและแนวปฏิบัติที่ดีที่สุดในอุตสาหกรรมที่เปลี่ยนแปลงไป โดยจะแจ้งวันที่ปรับปรุงล่าสุดไว้ด้านบนของหน้านี้
14. ติดต่อทีมความปลอดภัย
สำหรับคำถามด้านความปลอดภัย การขอเอกสารประกอบการประเมินความเสี่ยง หรือการรายงานช่องโหว่ กรุณาติดต่อทีมงานผ่านช่องทางด้านล่าง
ต้องการเอกสารประกอบการประเมินความเสี่ยงด้าน Vendor เพิ่มเติม?
ติดต่อทีมงาน