ระบบ Security Standard ที่ PDPA Platform ต้องมี

ไม่ว่าจะ Platform ไหนๆ เมื่อถูกสร้างขึ้นมาก็จะต้องมี Security Standard หรือ หลักการทางด้าน Security หลักการที่ว่านี้เรานิยมใช้ยึดเป็นหลักในการสร้างระบบให้ปลอดภัยและน่าเชื่อถือครับ เราขอหยิบเอาหลักการ CIA Triad และ AAA Protocol ระบบ Security พื้นฐานที่ควรมีมาพูดกันใน

การรักษาความปลอดภัยของ Platform

แน่นอนว่าผู้สร้างแพลตฟอร์มย่อมต้องการให้ผู้ใช้งานระบบได้อย่างต่อเนื่อง ไม่มีปัญหาติดขัดในแพลตฟอร์ม แต่มันก็ไม่ได้ง่ายขนาดนั้น เพราะสิ่งที่ผู้ใช้มองหานอกจากฟีเจอร์ของระบบแล้วยังมี “ความน่าเชื่อถือ” ของระบบด้วย

นั่นก็หมายความว่า ถ้าคุณสามารถทำให้ระบบน่าเชื่อถือ นั่นก็เป็นอีกหนึ่งวิธีที่จะทำให้มีผู้ใช้ไว้วางใจและเลือกใช้งานกับแพลตฟอร์มคุณมากขึ้น ดังนั้นเราจะมาพูดถึง “ความน่าเชื่อถือ” คุณสมบัติที่ระบบจะต้องมีหรือที่เรียกกันว่า CIA Triad

CIA คืออะไร

C-I-A เป็นตัวอักษรที่ย่อมาจาก Confidentiality Integrity และ Availability ซึ่ง 3 คำนี้คือสิ่งที่ระบบที่น่าเชื่อถือจะต้องมี

Confidentiality หมายถึง ความสามารถในการรักษาความลับของระบบ การควบคุมการเข้าถึงข้อมูลเพื่อไม่ให้ผู้ที่ไม่มีสิทธิเข้าถึงความลับใดๆ เช่น หากเรามีการเก็บข้อมูลส่วนบุคคลไว้ เช่น เลขบัตรประชาชน เบอร์โทร โรคประจำตัว หน้าที่ของระบบคือการจัดการความปลอดภัยไม่ให้คนที่ไม่มีสิทธิเข้ามาดูข้อมูลของเราไปได้
Integrity หมายถึง ความถูกต้องและความสมบูรณ์ของข้อมูลไม่ว่าจะเป็นการส่งหรือจัดเก็บ เช่น หากเราส่งข้อมูลจากจุด A ไปจุด B หรือ B จัดเก็บข้อมูลไว้ ข้อมูลนั้นควรถูกต้องสมบูรณ์เสมอจากต้นฉบับ(A) หรือจะเปลี่ยนแปลงแก้ไขได้จากผู้ที่ได้รับสิทธิเท่านั้น หน้าที่ของระบบคือป้องกันการโจมตี แก้ไขหรือเปลี่ยนแปลงข้อมูลโดยผู้ที่ไม่มีสิทธิ
Availability หมายถึงความสามารถของระบบที่จะคงอยู่ ให้บริการหรือทำงานได้ตลอดเวลาจากคนที่มีสิทธิ หน้าที่ของระบบคือแม้จะเกิดข้อผิดพลาดใดๆ ต้องมีมาตรการสำรองเตรียมพร้อมไว้เสมอ เพื่อให้ระบบยังคงดำเนินการได้

ยังมีอีก 1 คุณสมบัติที่สำคัญไม่แพ้ CIA Triad นั้นก็คือ AAA protocol ซึ่งหลายคนอาจจะไม่เคยได้ยินแต่ว่าคงได้สัมผัสหรือเคยเห็นกันมาแล้วอย่างแน่นอน

AAA Protocol คืออะไร

AAA Protocol มีทั้งหมด 3 องค์ประกอบที่มาตามตัวอักษรย่อ A-A-A ได้แก่

Authentication : การตรวจสอบและพิสูจน์ตัวตน เพื่อเข้าใช้งานระบบซึ่งมีหลายวิธีไม่ว่าจะเป็น User & Password, PIN, QR code ลายนิ้วมือหรือใบหน้า เป็นต้น
Authorization : การกำหนดสิทธิการเข้าถึงให้แก่บุคคลว่าบุคคลไหนสามารถใช้งานอะไรในระบบได้บ้าง เช่น บางคนอาจจะสามารถดูข้อมูลในไฟล์ได้แต่จะไม่สามารถแก้ไขได้
Accounting : กระบวนการเก็บและบันทึกว่าแต่ละคนเข้ามาเปลี่ยนแปลงแก้ไขอะไรบ้างเพื่อ เก็บข้อมูลไว้ตรวจสอบหรือใช้ในการร่าง Policy ได้

ทั้งหมดนี้ทั้ง CIA Triad และ AAA protocol เป็นคุณสมบัติที่สำคัญอย่างยิ่งในการรักษาความปลอดภัยและสร้างความน่าเชื่อถือให้แก่ตัวระบบ โดยที่ระบบต้อง รักษาความลับ รักษาข้อมูลให้ถูกต้องและพร้อมใช้งานอยู่เสมอ รวมถึงคนที่มีสิทธิต้องยืนยันตัวตนเพื่อเข้าใช้งาน และมีการกำหนดสิทธิของผู้ใช้แต่ละคนโดยต้องมีการเก็บข้อมูลประวัติการใช้งานหรือการเพิ่ม ลบ เปลี่ยนแปลงข้อมูลได้ด้วย

และแน่นอนผลิตภัณฑ์ของเราอย่าง t-reg PDPA Solution ได้สร้างและพัฒนาขึ้นมาโดยยึดตามหลักการอย่าง CIA Triad และ AAA Protocol เพื่อสร้างความมั่นใจให้แก่ลูกค้าและองค์กร ข้อมูลเพิ่มเติม https://t-reg.co/security-model

Wanphichit Chintrakulchai

t-reg Founder

FREE EVENT

ร่วมฟังแนวทางเปลี่ยนความท้าทาย ให้กลายเป็นโอกาส ด้วยไกด์ไลน์การทำโครงการ PDPA ควบคู่กับ Digital Transformation โดย ผู้เชี่ยวชาญด้านเทคโนโลยี และกฎหมาย PDPA จาก t-reg พบกับผู้เชี่ยวชาญของ t-reg PDPA Platform ที่ให้คำปรึกษาพร้อมเทคโนโลยี ในการพาองค์กรชั้นนำของประเทศไทยมามากกว่า 50 องค์กร สำเร็จโครงการ PDPA แบบยั่งยืน

ร่วมฟังแนวทางที่ท่านจะได้รับทราบข้อมูลอัพเดทเกี่ยวกับตัวกฎหมาย และแนวทางการตรวจสอบในเชิง Audit ว่าองค์กรของท่านนั้นยังคงรักษามาตรการการคุ้มครองข้อมูลส่วนบุคคลได้เป็นอย่างดีหรือไม่ กฎหมายที่ออกเพิ่มเติมมาส่งผลต่อท่านอย่างไร และกระบวนการ Audit ที่เข้มข้น