]

t-reg PDPA Platform

treg-security

ระบบ Security Standard ที่ PDPA Platform ต้องมี

เนื้อหาในบทความ

ระบบ Security Standard ที่ PDPA Platform ต้องมี

ไม่ว่าจะ Platform ไหนๆ เมื่อถูกสร้างขึ้นมาก็จะต้องมี Security Standard หรือ หลักการทางด้าน Security หลักการที่ว่านี้เรานิยมใช้ยึดเป็นหลักในการสร้างระบบให้ปลอดภัยและน่าเชื่อถือครับ เราขอหยิบเอาหลักการ CIA Triad และ AAA Protocol ระบบ Security พื้นฐานที่ควรมีมาพูดกันใน

การรักษาความปลอดภัยของ Platform

แน่นอนว่าผู้สร้างแพลตฟอร์มย่อมต้องการให้ผู้ใช้งานระบบได้อย่างต่อเนื่อง ไม่มีปัญหาติดขัดในแพลตฟอร์ม แต่มันก็ไม่ได้ง่ายขนาดนั้น เพราะสิ่งที่ผู้ใช้มองหานอกจากฟีเจอร์ของระบบแล้วยังมี “ความน่าเชื่อถือ” ของระบบด้วย

นั่นก็หมายความว่า ถ้าคุณสามารถทำให้ระบบน่าเชื่อถือ นั่นก็เป็นอีกหนึ่งวิธีที่จะทำให้มีผู้ใช้ไว้วางใจและเลือกใช้งานกับแพลตฟอร์มคุณมากขึ้น ดังนั้นเราจะมาพูดถึง “ความน่าเชื่อถือ” คุณสมบัติที่ระบบจะต้องมีหรือที่เรียกกันว่า CIA Triad

CIA-1

CIA คืออะไร

     C-I-A เป็นตัวอักษรที่ย่อมาจาก Confidentiality Integrity และ Availability ซึ่ง 3 คำนี้คือสิ่งที่ระบบที่น่าเชื่อถือจะต้องมี

  1. Confidentiality หมายถึง ความสามารถในการรักษาความลับของระบบ การควบคุมการเข้าถึงข้อมูลเพื่อไม่ให้ผู้ที่ไม่มีสิทธิเข้าถึงความลับใดๆ เช่น หากเรามีการเก็บข้อมูลส่วนบุคคลไว้ เช่น เลขบัตรประชาชน เบอร์โทร โรคประจำตัว หน้าที่ของระบบคือการจัดการความปลอดภัยไม่ให้คนที่ไม่มีสิทธิเข้ามาดูข้อมูลของเราไปได้
  2. Integrity หมายถึง ความถูกต้องและความสมบูรณ์ของข้อมูลไม่ว่าจะเป็นการส่งหรือจัดเก็บ เช่น หากเราส่งข้อมูลจากจุด A ไปจุด B หรือ B จัดเก็บข้อมูลไว้ ข้อมูลนั้นควรถูกต้องสมบูรณ์เสมอจากต้นฉบับ(A) หรือจะเปลี่ยนแปลงแก้ไขได้จากผู้ที่ได้รับสิทธิเท่านั้น หน้าที่ของระบบคือป้องกันการโจมตี แก้ไขหรือเปลี่ยนแปลงข้อมูลโดยผู้ที่ไม่มีสิทธิ
  3. Availability หมายถึงความสามารถของระบบที่จะคงอยู่ ให้บริการหรือทำงานได้ตลอดเวลาจากคนที่มีสิทธิ หน้าที่ของระบบคือแม้จะเกิดข้อผิดพลาดใดๆ ต้องมีมาตรการสำรองเตรียมพร้อมไว้เสมอ เพื่อให้ระบบยังคงดำเนินการได้

ยังมีอีก 1 คุณสมบัติที่สำคัญไม่แพ้ CIA Triad นั้นก็คือ AAA protocol ซึ่งหลายคนอาจจะไม่เคยได้ยินแต่ว่าคงได้สัมผัสหรือเคยเห็นกันมาแล้วอย่างแน่นอน

AAA

AAA Protocol คืออะไร

AAA Protocol มีทั้งหมด 3 องค์ประกอบที่มาตามตัวอักษรย่อ A-A-A ได้แก่

  1. Authentication : การตรวจสอบและพิสูจน์ตัวตน เพื่อเข้าใช้งานระบบซึ่งมีหลายวิธีไม่ว่าจะเป็น User & Password, PIN, QR code ลายนิ้วมือหรือใบหน้า เป็นต้น
  2. Authorization : การกำหนดสิทธิการเข้าถึงให้แก่บุคคลว่าบุคคลไหนสามารถใช้งานอะไรในระบบได้บ้าง เช่น บางคนอาจจะสามารถดูข้อมูลในไฟล์ได้แต่จะไม่สามารถแก้ไขได้
  3. Accounting : กระบวนการเก็บและบันทึกว่าแต่ละคนเข้ามาเปลี่ยนแปลงแก้ไขอะไรบ้างเพื่อ เก็บข้อมูลไว้ตรวจสอบหรือใช้ในการร่าง Policy ได้

     ทั้งหมดนี้ทั้ง CIA Triad และ AAA protocol เป็นคุณสมบัติที่สำคัญอย่างยิ่งในการรักษาความปลอดภัยและสร้างความน่าเชื่อถือให้แก่ตัวระบบ โดยที่ระบบต้อง รักษาความลับ รักษาข้อมูลให้ถูกต้องและพร้อมใช้งานอยู่เสมอ รวมถึงคนที่มีสิทธิต้องยืนยันตัวตนเพื่อเข้าใช้งาน และมีการกำหนดสิทธิของผู้ใช้แต่ละคนโดยต้องมีการเก็บข้อมูลประวัติการใช้งานหรือการเพิ่ม ลบ เปลี่ยนแปลงข้อมูลได้ด้วย

      และแน่นอนผลิตภัณฑ์ของเราอย่าง t-reg PDPA Solution ได้สร้างและพัฒนาขึ้นมาโดยยึดตามหลักการอย่าง CIA Triad และ AAA Protocol เพื่อสร้างความมั่นใจให้แก่ลูกค้าและองค์กร ข้อมูลเพิ่มเติม https://t-reg.co/security-model

CIA of t-reg
FREE EVENT

ร่วมฟังแนวทางการยกระดับการบริหารจัดการข้อมูลส่วนบุคคลสำหรับองค์กรที่มี Data Subject จำนวนมาก เพื่อเพิ่มความน่าเชื่อถือให้กับองค์กร ด้วยไกด์ไลน์การทำ ROPA ที่เป็นหัวใจสำคัญในการสำเร็จกระบวนการ PDPA ควบคู่กับ Digital Transformation และแบ่งปันข้อมูลเชิงลึก โดยผู้เชี่ยวชาญที่มีประสบการณ์ให้คำปรึกษาด้านกระบวนการ PDPA สำเร็จแล้วกว่า 60 องค์กร และได้รับ Certificate จากสถาบันดิจิตัล (DCT) และมาตรฐานสากล ICDL หลักสูตร Personal Data Protection

RELATED POST
digital transformation roadmap
t-reg knowledge

Digital Transformation Roadmap แผนสำคัญที่องค์กรต้องรู้ก่อนทำ Digital Transformation

จากบทความก่อนหน้าที่พูดถึงเทรนด์ PDPA Thailand พร้อมความเคลื่อนไหวที่เกิดขึ้นในแวดวงธุรกิจ และทำความเข้าใจเรื่อง Digital Transformation ในเบื้องต้น

อ่านต่อ »
understand PDPA in 5 Min
t-reg knowledge

เข้าใจ PDPA ใน 5 นาที : สรุปทุกอย่างที่องค์กรจำเป็นต้องรู้

PDPA : Personal Data Protection Act หรือ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล บังคับใช้อย่างจริงจังในวันที่ 1 มิถุนายน พ.ศ. 2564 ที่จะถึงนี้ เราขอสรุปแบบเข้าได้ง่ายๆ ใน 5 นาที

อ่านต่อ »
PDPA ต้องเก็บ Log
t-reg knowledge

PDPA ต้องเก็บ Log Fle ด้วยหรอ?

หลาย ๆ ท่านอาจจะบอกว่าที่ต้องเก็บ Log นั่นมัน พ.ร.บ. คอมพิวเตอร์ต่างหาก ไม่ใช่ PDPA ซะหน่อย ?
นั่นก็ถูกครึ่งนึงครับที่ว่ากฎหมายที่กำหนดให้เราเก็บ Log จริง ๆ นั่นคือ

อ่านต่อ »
audit
t-reg knowledge

เริ่ม Audit อย่างมีประสิทธิภาพ เข้มข้น ครอบคลุมทุกส่วนงาน สำเร็จการ Audit ใน 26 วันกับ t-reg

การทำ Audit ในองค์กรเป็นกิจกรรมที่ไม่ได้เกิดขึ้นบ่อยครั้ง ทว่าทุกครั้งที่มีการตรวจสอบการดำเนินการในองค์กร มักชี้ให้เห็นถึงจุดบอด จุดอ่อน และความผิดพลาดของกระบวนการบางขั้นตอนในองค์กรได้เป็นอย่างดี ขณะเดียวกันการละเลยการตรวจสอบเป็นเวลานาน

อ่านต่อ »

ส่งต่อบทความดีๆ ได้ที่นี่