นโยบายความปลอดภัยของข้อมูล

นโยบายความปลอดภัยข้อมูลสำหรับผู้ให้บริการอุปกรณ์ห้างสรรพสินค้าในประเทศไทย
เรา (ผู้ให้บริการอุปกรณ์ห้างสรรพสินค้าในประเทศไทย) เข้าใจถึงความสำคัญของการรักษาความปลอดภัยข้อมูลผู้ใช้ และให้ความสำคัญเป็นอันดับแรกเสมอ นโยบายนี้มีวัตถุประสงค์เพื่อชี้แจงกฎการจัดการความปลอดภัยสำหรับข้อมูลผู้ใช้ (รวมถึงข้อมูลส่วนบุคคลและข้อมูลที่เกี่ยวข้องกับธุรกรรม) เพื่อให้มั่นใจถึงความปลอดภัยของการรวบรวม จัดเก็บ ใช้ และส่งข้อมูล และปกป้องสิทธิ์และผลประโยชน์โดยชอบธรรมของคุณ
I. ขอบเขตการบังคับใช้
นโยบายความปลอดภัยข้อมูลนี้มีผลบังคับใช้กับข้อมูลผู้ใช้ทั้งหมดที่เกี่ยวข้องกับกิจกรรมทางธุรกิจของเรา ครอบคลุมทุกการติดต่อกับเรา ซึ่งรวมถึงแต่ไม่จำกัดเพียง ข้อมูลที่สร้างขึ้นหรือได้รับระหว่างการสอบถามข้อมูลสินค้า เช่น เฟอร์นิเจอร์ (บีนแบ็ก เก้าอี้ทรงกลมขนาดเล็ก โต๊ะ โซฟา) อุปกรณ์สำนักงาน (เครื่องเย็บกระดาษ สมุดบันทึก กล่องดินสอ) และเครื่องใช้ไฟฟ้าภายในบ้าน (พาวเวอร์แบงก์ ที่ชาร์จ ลำโพง) การสั่งซื้อ การขอรับบริการหลังการขาย และการใช้บริการบริการลูกค้า

II. หลักการจัดการความปลอดภัยของข้อมูล
หลักการความถูกต้องตามกฎหมายและการปฏิบัติตามกฎระเบียบ: กิจกรรมการประมวลผลข้อมูลทั้งหมดสอดคล้องกับพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคลของไทย และกฎหมายและข้อบังคับที่เกี่ยวข้อง เพื่อให้มั่นใจว่าการรวบรวมและการใช้ข้อมูลเป็นไปตามกฎหมายและเหมาะสม และไม่ละเมิดกฎหมาย ความสงบเรียบร้อย และศีลธรรมอันดีของประชาชน หลักการขั้นต่ำที่จำเป็น: รวบรวมเฉพาะข้อมูลที่จำเป็นต่อการให้บริการ (เช่น ที่อยู่จัดส่งสำหรับการจัดส่งคำสั่งซื้อและข้อมูลยืนยันการชำระเงินสำหรับการชำระเงิน) เท่านั้น ไม่มีการรวบรวมข้อมูลซ้ำซ้อนที่ไม่เกี่ยวข้องกับบริการเพื่อลดความเสี่ยงด้านความปลอดภัยของข้อมูล
หลักการปกป้องกระบวนการทั้งหมด: การจัดการความปลอดภัยจะถูกนำไปใช้ตลอดวงจรชีวิตข้อมูลทั้งหมด รวมถึงการเก็บรวบรวม การจัดเก็บ การใช้ การส่ง และการทำลาย โดยสร้างกลไกการป้องกันแบบหลายชั้นเพื่อป้องกันความเสี่ยงต่างๆ เช่น การรั่วไหล การสูญหาย และการปลอมแปลงข้อมูล
หลักการความรับผิดชอบที่ชัดเจน: ความรับผิดชอบด้านความปลอดภัยของข้อมูลได้รับการกำหนดไว้อย่างชัดเจนสำหรับแต่ละแผนกภายในและแต่ละบุคคล เพื่อให้มั่นใจว่าความรับผิดชอบในการจัดการความปลอดภัยของข้อมูลได้รับการมอบหมายให้กับตำแหน่งเฉพาะเพื่อหลีกเลี่ยงการโยนความผิด

III. มาตรการคุ้มครองความปลอดภัยของข้อมูล
(I) มาตรการคุ้มครองทางเทคนิค
การเข้ารหัสและจัดเก็บข้อมูล: ข้อมูลผู้ใช้ที่ละเอียดอ่อน (เช่น ข้อมูลการชำระเงินและข้อมูลติดต่อ) จะถูกเข้ารหัสโดยใช้เทคโนโลยีการเข้ารหัสมาตรฐานอุตสาหกรรม (เช่น การเข้ารหัส AES-256 และการเข้ารหัสการส่งข้อมูล SSL/TLS) เพื่อป้องกันการเข้าถึงหรือการโจรกรรมโดยไม่ได้รับอนุญาตระหว่างการจัดเก็บและการส่งข้อมูล
การควบคุมการเข้าถึง: มีการจัดตั้งระบบการจัดการการอนุญาตที่เข้มงวด และกำหนดสิทธิ์การเข้าถึงข้อมูลตามหลักการ "สิทธิ์ขั้นต่ำ" เฉพาะบุคลากรที่จำเป็นเท่านั้นที่ได้รับอนุญาตให้เข้าถึงข้อมูลเฉพาะ และบันทึกการดำเนินการเข้าถึงทั้งหมดเพื่อให้ง่ายต่อการตรวจสอบย้อนกลับ ระบบป้องกันความปลอดภัย: ติดตั้งอุปกรณ์รักษาความปลอดภัย เช่น ไฟร์วอลล์ ระบบตรวจจับการบุกรุก (IDS) และซอฟต์แวร์ป้องกันไวรัส เพื่อตรวจสอบความเสี่ยงต่างๆ เช่น การโจมตีเครือข่ายและการแทรกโค้ดที่เป็นอันตรายแบบเรียลไทม์ สกัดกั้นพฤติกรรมการเข้าถึงที่ผิดปกติได้ทันที และรับรองความปลอดภัยของเซิร์ฟเวอร์และระบบจัดเก็บข้อมูล
การสำรองและกู้คืนข้อมูล: สำรองข้อมูลผู้ใช้เป็นประจำ (รวมถึงการสำรองข้อมูลภายในเครื่องและการกู้คืนระบบจากภัยพิบัตินอกสถานที่) และพัฒนาแผนการกู้คืนข้อมูลที่ครอบคลุม เพื่อให้มั่นใจว่าสามารถกู้คืนข้อมูลได้อย่างรวดเร็วในกรณีที่เกิดเหตุการณ์ที่ไม่คาดคิด เช่น เซิร์ฟเวอร์ขัดข้องและภัยพิบัติทางธรรมชาติ ซึ่งจะช่วยลดความเสี่ยงของการสูญหายของข้อมูล
(II) มาตรการการจัดการและการป้องกัน
การพัฒนาระบบรักษาความปลอดภัย: พัฒนาระบบภายใน เช่น "ข้อกำหนดการจัดการความปลอดภัยข้อมูล" และ "จรรยาบรรณความปลอดภัยข้อมูลของพนักงาน" เพื่อชี้แจงกระบวนการและข้อกำหนดด้านความปลอดภัยสำหรับการรวบรวม การใช้ และการทำลายข้อมูล และสร้างมาตรฐานพฤติกรรมการจัดการข้อมูลของพนักงาน
การฝึกอบรมด้านความปลอดภัยของพนักงาน: จัดการฝึกอบรมด้านความปลอดภัยข้อมูลสำหรับพนักงานเป็นประจำ ครอบคลุมกฎหมายและข้อบังคับด้านความปลอดภัยข้อมูล ทักษะการป้องกันความปลอดภัย และขั้นตอนการรับมือเหตุฉุกเฉิน เพื่อเสริมสร้างความตระหนักด้านความปลอดภัยข้อมูลของพนักงานและป้องกันเหตุการณ์ด้านความปลอดภัยข้อมูลที่เกิดจากความผิดพลาดของมนุษย์ การจัดการความร่วมมือกับบุคคลที่สาม: หากบุคคลที่สาม (เช่น ผู้ให้บริการโลจิสติกส์หรือสถาบันการชำระเงิน) ได้รับความไว้วางใจให้ประมวลผลข้อมูลผู้ใช้ เราจะดำเนินการตรวจสอบคุณสมบัติด้านความปลอดภัยของบุคคลที่สามอย่างเข้มงวด ลงนามในข้อตกลงด้านความปลอดภัยของข้อมูล กำหนดความรับผิดชอบด้านความปลอดภัยของข้อมูลและภาระผูกพันด้านการรักษาความลับของบุคคลที่สามอย่างชัดเจน และตรวจสอบการจัดการความปลอดภัยข้อมูลของบุคคลที่สามอย่างสม่ำเสมอเพื่อให้มั่นใจในความปลอดภัยของข้อมูล

การตรวจสอบและประเมินความปลอดภัย: ดำเนินการตรวจสอบและประเมินความเสี่ยงด้านความปลอดภัยของข้อมูลอย่างสม่ำเสมอเพื่อระบุความเสี่ยงด้านความปลอดภัยของข้อมูล อัปเดตมาตรการป้องกันความปลอดภัยอย่างทันท่วงที และปรับนโยบายด้านความปลอดภัยของข้อมูลตามการพัฒนาธุรกิจและการเปลี่ยนแปลงทางเทคโนโลยี เพื่อให้มั่นใจว่าความสามารถในการป้องกันความปลอดภัยสอดคล้องกับระดับความเสี่ยง

IV. การจัดการเหตุการณ์ด้านความปลอดภัยของข้อมูล
การตรวจสอบและรายงานเหตุการณ์: จัดทำกลไกการตรวจสอบเหตุการณ์ด้านความปลอดภัยของข้อมูลเพื่อตรวจสอบการดำเนินงานด้านข้อมูลที่ผิดปกติ (เช่น การส่งออกข้อมูลขนาดใหญ่และการเข้าถึง IP ที่ผิดปกติ) แบบเรียลไทม์ เมื่อพบเหตุการณ์ด้านความปลอดภัย เช่น การรั่วไหล การสูญหาย หรือการปลอมแปลงข้อมูล บุคคลที่รับผิดชอบที่เกี่ยวข้องจะต้องรายงานเหตุการณ์ดังกล่าวต่อฝ่ายจัดการความปลอดภัยข้อมูลทันที ห้ามปกปิดหรือรายงานล่าช้า กระบวนการรับมือเหตุฉุกเฉิน: เปิดใช้งานแผนรับมือเหตุฉุกเฉินด้านความปลอดภัยของข้อมูล จัดตั้งทีมรับมือเหตุฉุกเฉิน และกำหนดขั้นตอนรับมือเหตุฉุกเฉินอย่างชัดเจน:
ดำเนินมาตรการควบคุมการแพร่กระจายของความเสี่ยงทันที (เช่น การระงับการเข้าถึงระบบที่เกี่ยวข้องและการบล็อกบัญชีที่ผิดปกติ)
ตรวจสอบและประเมินสาเหตุของเหตุการณ์ ขอบเขตของผลกระทบ และขอบเขตของความเสียหายของข้อมูล
ใช้วิธีการทางเทคนิคเพื่อกู้คืนข้อมูลที่เสียหาย (เช่น การกู้คืนจากข้อมูลสำรอง) และแก้ไขช่องโหว่ด้านความปลอดภัย
หากเหตุการณ์ส่งผลกระทบต่อสิทธิ์ของผู้ใช้ เราจะแจ้งให้คุณทราบถึงเหตุการณ์และผลการจัดการผ่านข้อมูลติดต่อของคุณ (เช่น อีเมลหรือโทรศัพท์) ภายในสามวันทำการหลังจากเหตุการณ์ได้รับการแก้ไข (หากมีข้อมูลที่ละเอียดอ่อน การแจ้งเตือนนี้จะถูกเข้ารหัส)
การปรับปรุงและความรับผิดชอบในภายหลัง: หลังจากเหตุการณ์ได้รับการแก้ไข เราจะวิเคราะห์สาเหตุของเหตุการณ์ สรุปบทเรียนที่ได้รับ และปรับปรุงมาตรการรักษาความปลอดภัยของข้อมูลให้เหมาะสม หากเหตุการณ์เกิดจากความประมาทเลินเล่อของมนุษย์ บุคลากรที่เกี่ยวข้องจะต้องรับผิดชอบตามข้อบังคับภายใน หากมีความรับผิดต่อบุคคลที่สาม บุคคลที่สามจะต้องรับผิดทางกฎหมายตามข้อตกลงการรักษาความปลอดภัยข้อมูล

V. นิยามความรับผิดชอบต่อความปลอดภัยของข้อมูลผู้ใช้
ความรับผิดชอบของเรา: หากความปลอดภัยของข้อมูลผู้ใช้ถูกละเมิดเนื่องจากเราไม่สามารถปฏิบัติตามภาระผูกพันด้านความปลอดภัยข้อมูลของเราได้ (เช่น การไม่ใช้มาตรการเข้ารหัสที่จำเป็น หรือการรั่วไหลของข้อมูลที่ผิดกฎหมายโดยพนักงาน) เราจะรับผิดทางกฎหมายที่เกี่ยวข้อง ซึ่งรวมถึงแต่ไม่จำกัดเพียงการช่วยเหลือผู้ใช้ในการดำเนินการแก้ไขและชดเชยความเสียหายที่สมเหตุสมผล ความรับผิดชอบของผู้ใช้:
คุณต้องปกป้องข้อมูลที่ละเอียดอ่อนอย่างเหมาะสม เช่น ข้อมูลบัญชีส่วนบุคคลของคุณ (ถ้ามี) และรหัสผ่านการชำระเงิน และหลีกเลี่ยงการเปิดเผยข้อมูลดังกล่าวแก่ผู้อื่น เราไม่รับผิดชอบต่อการใช้ข้อมูลของคุณโดยไม่ได้รับอนุญาตอันเนื่องมาจากความประมาทเลินเล่อของคุณ
คุณเป็นผู้รับผิดชอบแต่เพียงผู้เดียวสำหรับความเสี่ยงด้านความปลอดภัยของข้อมูลใดๆ ที่เกิดขึ้นจากการให้ข้อมูลผ่านช่องทางที่ไม่เป็นทางการ (เช่น แพลตฟอร์มปลอมแปลงของบุคคลที่สาม หรือลิงก์ฟิชชิ่ง)
หากคุณอนุญาตให้ผู้อื่นใช้บัญชีหรือข้อมูลของคุณ คุณต้องรับผิดชอบต่อการกระทำของบุคคลดังกล่าวแต่เพียงผู้เดียว เราไม่รับผิดชอบต่อปัญหาความปลอดภัยของข้อมูลใดๆ ที่เกิดจากการกระทำดังกล่าว

VI. การปรับปรุงนโยบายและติดต่อเรา
นโยบายความปลอดภัยข้อมูลนี้อาจมีการเปลี่ยนแปลงตามการปรับปรุงกฎหมายและข้อบังคับด้านความปลอดภัยข้อมูลของประเทศไทย การพัฒนาทางเทคโนโลยี และการปรับเปลี่ยนทางธุรกิจ การแก้ไขจะประกาศผ่านทางอีเมลอย่างเป็นทางการของเรา (service@mail.kieronix.com) ประกาศอย่างเป็นทางการบนแพลตฟอร์ม และช่องทางอื่นๆ การแก้ไขเหล่านี้จะมีผลบังคับใช้ตั้งแต่วันที่ประกาศดังกล่าว การที่ท่านใช้บริการของเราอย่างต่อเนื่องถือว่าท่านยอมรับนโยบายที่ปรับปรุงแล้วนี้ หากท่านมีข้อสงสัยเกี่ยวกับนโยบายความปลอดภัยข้อมูลนี้ หรือพบความเสี่ยงด้านความปลอดภัยข้อมูลใดๆ (เช่น การรั่วไหลของข้อมูลที่น่าสงสัย หรือการเข้าถึงที่ผิดปกติ) โปรดติดต่อเราผ่านทางอีเมลอย่างเป็นทางการของเรา service@mail.kieronix.com ในเวลาทำการบริการลูกค้า (วันจันทร์ถึงวันศุกร์ เวลา 9:00 น. ถึง 18:00 น. UTC+8:00) เราจะตอบกลับภายใน 1 วันทำการและช่วยเหลือท่านในการแก้ไขปัญหา