มาตรการทางด้านเทคนิคและองค์กร
Extu ได้ดำเนินการและจะทำการรักษามาตรการทางด้านเทคนิคและองค์กรอย่างเหมาะสม รวมถึงการควบคุมภายในและแนวปฏิบัติด้านความปลอดภัยของข้อมูลที่ได้รับการออกแบบมาเพื่อปกป้องข้อมูลที่ประมวลผลโดย Extu ภายใต้ข้อตกลงจากการสูญหาย การทำลาย หรือการเปลี่ยนแปลงโดยไม่ตั้งใจ ไม่ว่าจะเป็นการเปิดเผยหรือการเข้าถึงโดยไม่ได้รับอนุญาตหรือการทำลายโดยไม่ชอบด้วยกฎหมาย ดังต่อไปนี้:
การคัดกรองพนักงาน การฝึกอบรม และการรักษาความปลอดภัย
- บุคลากร: Extu ดำเนินการตามขั้นตอนที่เหมาะสมเพื่อให้มั่นใจได้ว่าบุคลากรของ Extu มีทักษะ ประสบการณ์ และการฝึกอบรมอย่างเพียงพอในการดูแลและการจัดการข้อมูลส่วนบุคคลเมื่อให้บริการ
- การตรวจสอบประวัติ:Extu ดำเนินการตรวจสอบภูมิหลังที่สมเหตุสมผลและเหมาะสมกับบุคลากรทุกคนตามกฎหมายและข้อบังคับที่เกี่ยวข้อง
- การฝึกอบรม: โปรแกรมการฝึกอบรมการปฏิบัติตามกฎระเบียบของ Extu ประกอบด้วยข้อกำหนดสำหรับพนักงานและผู้รับเหมาที่ต้องผ่านการฝึกอบรมการปกป้องข้อมูลเมื่อเข้าร่วมองค์กร เช่นเดียวกับการฝึกอบรมประจำปีด้านการปกป้องข้อมูลและการรับรู้ความเป็นส่วนตัว ซึ่งจำเป็นต้องผ่านการประเมินประจำปีด้วยเช่นกัน ส่วนการฝึกอบรมการปกป้องข้อมูลประกอบด้วยหัวข้อต่าง ๆ เช่น การตระหนักรู้ด้านความปลอดภัย การจัดการเหตุการณ์ข้อมูล และอาจรวมถึงเนื้อหาเฉพาะสำหรับฟังก์ชันงานบางอย่างเป็นต้น
- การรักษาความลับ: Extu มีการตรวจสอบให้แน่ใจได้ว่าพนักงานมีหน้าที่รักษาและปกป้องความลับของข้อมูลส่วนบุคคลใด ๆ ที่พวกเขาจัดการตามข้อตกลงนี้
ความปลอดภัยทางกายภาพและด้านสิ่งแวดล้อม
- ศูนย์ข้อมูล: Extu มีการใช้ศูนย์ข้อมูลจัดการความปลอดภัยทางกายภาพด้วยการเข้าถึงที่มีการรักษาความปลอดภัยตลอด 24 ชั่วโมงทุกวัน และมีเครื่องสแกนไบโอเมตริก ทั้งนี้ผู้ให้บริการศูนย์ข้อมูลของเราได้ทำการปฏิบัติตามข้อกำหนด SOC 2
- การควบคุมทางกายภาพ: Extu ได้นำนโยบายโต๊ะทำงานปลอดเอกสารสำคัญ (clear desk policy) มาใช้ เพื่อป้องกันไม่ให้มีข้อมูลส่วนบุคคลถูกวางทิ้งไว้โดยไม่มีใครดูแล และกำหนดให้บุคลากรล็อกหน้าจอคอมพิวเตอร์เมื่อไม่อยู่ที่โต๊ะทำงาน โดยสื่อสิ่งพิมพ์ทั้งหมดที่มีข้อมูลส่วนบุคคลจะถูกทำลายอย่างปลอดภัย (เช่น โดยการเผาหรือทำลาย) ตามนโยบายการเก็บรักษาของเรา ข้อมูลส่วนบุคคลทั้งหมดที่เก็บไว้ในฮาร์ดแวร์และสื่อที่ถอดได้จะต้องถูกทำลายอย่างปลอดภัยก่อนที่อุปกรณ์เก่านั้นจะถูกนำไปทิ้ง Extu สามารถรับประกันได้ผ่านการฝึกอบรมอย่างสม่ำเสมอว่าบุคลากรของเราจะไม่คัดลอกหรือถ่ายโอนข้อมูลส่วนบุคคลไปยังฮาร์ดไดรฟ์ของพีซี แล็ปท็อป อุปกรณ์พกพา สื่อที่ถอดได้ หรือเทคโนโลยีอื่นใด
- ผู้ประมวลผลช่วง: Extu ได้จัดทำโปรแกรมการปฏิบัติตามข้อกำหนดของบุคคลที่สาม ที่ได้รวมการรักษาความปลอดภัยไว้ในการประเมินผู้ขายหรือผู้ประมวลผลช่วง เช่นเดียวกับการรับรองการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของข้อมูล โดย Extu ได้รักษาความสัมพันธ์ตามสัญญากับผู้ขายเพื่อที่จะให้บริการตามข้อตกลงการปกป้องข้อมูลที่ได้ทำการตกลงกันไว้
ความปลอดภัยทางด้านเทคนิค
- การควบคุมการเข้าถึง: Extu ทำการรักษานโยบายการควบคุมการเข้าถึงอย่างเป็นทางการ และใช้ระบบการจัดการการเข้าถึงแบบรวมศูนย์เพื่อควบคุมการเข้าถึงระบบของพนักงานและผู้รับเหมา การเข้าถึงได้รับการแบ่งแยกตามหน้าที่และหลักการให้สิทธิในการเข้าถึงข้อมูลตามความจำเป็น มีการควบคุมการเข้าถึง รวมถึงการใช้ชื่อผู้ใช้และรหัสผ่านที่ซับซ้อนและการตรวจสอบสิทธิ์แบบหลายปัจจัย Extu ปรับสิทธิ์การเข้าถึงของบุคลากรเมื่อใดก็ตามที่พวกเขามีความรับผิดชอบที่แตกต่างกัน และทำการเพิกถอนสิทธิ์การเข้าถึงทั้งหมดเมื่อบุคลากรสิ้นสุดการจ้างงานหรือสัญญา
- การส่งข้อมูลและการเข้ารหัส: Extu มีการดำเนินการตามขั้นตอนที่เหมาะสมทั้งหมดเพื่อให้แน่ใจว่าข้อมูลส่วนบุคคลทั้งหมด (ที่ได้รับการจัดเก็บไว้ในแบบฟอร์มและสื่อใด ๆ ไม่ว่าจะจับต้องได้หรือจับต้องไม่ได้) ที่อาจก่อให้เกิดความเสียหายหรือความทุกข์ทรมานต่อเจ้าของข้อมูลหากสูญหาย ถูกขโมย หรือเข้าถึงโดยบุคคลที่ไม่ได้รับอนุญาต ข้อมูลดังกล่าวจะได้รับการเข้ารหัส โดยเฉพาะอย่างยิ่งเมื่ออยู่ในการขนส่งระหว่างระบบ ซึ่งรวมไปถึงการนำแนวปฏิบัติการเข้ารหัสมาตรฐานอุตสาหกรรมมาใช้ในการส่งข้อมูลส่วนบุคคล (เช่น Transport Layer Security) และการเข้ารหัสข้อมูลส่วนบุคคลที่หยุดนิ่ง (Data at Rest) และข้อมูลส่วนบุคคลที่อยู่ระหว่างการส่งผ่าน (Data in Transit)
- การป้องกันความปลอดภัยของข้อมูล: มีมาตรการรักษาความปลอดภัยข้อมูลที่เหมาะสม รวมถึง (แต่ไม่จำกัดเพียง): มีการติดตั้งซอฟต์แวร์ป้องกันไวรัสและมัลแวร์บนระบบข้อมูล มีการนำแพตช์ล่าสุดและการอัปเดตความปลอดภัยสำหรับซอฟต์แวร์มาใช้เป็นประจำ มีการป้องกันเครือข่ายผ่านไฟร์วอลล์พร้อมระบบตรวจจับการบุกรุกและบันทึกสำหรับระบบที่สำคัญ
- การตรวจสอบโค้ด: Extu มีการรักษากระบวนการที่ใช้ในการพัฒนาซอฟต์แวร์ (SDLC) อย่างเป็นทางการ ซึ่งรวมถึงแนวทางปฏิบัติในการเขียนโค้ดด้านความปลอดภัย รวมถึงการตรวจสอบโค้ดและแนวทางปฏิบัติในการจัดการการเปลี่ยนแปลงด้านวิศวกรรมและการพัฒนาผลิตภัณฑ์
- การเก็บรักษาข้อมูล: Extu ทำการรักษานโยบายการเก็บรักษาและการกำจัดข้อมูล
เป็นไปตามมาตรฐาน SOC II และการรับรองการปฏิบัติตามมาตรฐาน PCI DSS
ผู้ให้บริการด้านการประมวลผลบัตรเครดิตของ Extu มีการใช้มาตรการรักษาความปลอดภัยเพื่อปกป้องข้อมูลของคุณทั้งในระหว่างการทำธุรกรรมและหลังจากการทำธุรกรรมเสร็จสิ้น ซึ่งผู้จัดจำหน่ายของเราได้รับการรับรองว่าสอดคล้องกับโครงการริเริ่มด้านความปลอดภัยของสมาคมบัตร อีกทั้งการบูรณาการระบบการจัดการรางวัลจูงใจตอบแทน (Incentive Management Systems) ของเรากับซัพพลายเออร์เป็นไปตามมาตรฐาน PCI DSS (ภายใต้ SAQ A)
นอกจากนี้เรายังดำเนินการตรวจสอบ SOC II ประเภท 2 ประจำปีเกี่ยวกับระบบการจัดการรางวัลจูงใจตอบแทน (Incentive Management Systems) ของเราอีกด้วย อีกทั้งเรามีการจัดทำรายงาน SOC II ของเราเมื่อได้รับการร้องขอ
การตอบสนองต่อเหตุการณ์และการแจ้งเตือนการละเมิด
- การฟื้นฟูหลังภัยพิบัติ: Extu ได้ดำเนินการเพื่อให้แน่ใจได้ว่าจะสามารถให้บริการต่อไปได้ในกรณีที่เกิดภัยพิบัติที่ขัดขวางการทำงานปกติ โดยมีการระบุระบบและบริการที่สำคัญและมีการจัดทำแผนการกู้คืนความเสียหาย ทั้งนี้ Extu ทำการสำรองข้อมูลอย่างเป็นประจำ เพื่อให้มั่นใจได้ว่าระบบที่สำคัญนั้นสามารถได้รับการกู้คืนได้โดยสูญเสียข้อมูลน้อยที่สุด
- การตอบสนองต่อเหตุการณ์: Extu ได้กำหนดขั้นตอนการตอบสนองต่อเหตุการณ์ เพื่อให้สามารถควบคุมและจัดการเหตุการณ์ได้ทันท่วงที โดยเป็นไปตามกฎหมายและข้อผูกพันที่บังคับใช้