เราให้ความสำคัญกับความปลอดภัย และการรักษาความลับของข้อมูลของคุณ และเราเข้าใจว่านี่เป็นหนึ่งในคำถามที่ได้รับการสอบถามมามากที่สุดคำถามหนึ่ง เราจึงขออนุญาตชี้แจ้งให้ผู้ที่สนใจ และผู้ใช้งานทุกท่านได้เข้าใจในที่นี่ครับ

การรักษาความปลอดภัยของข้อมูล

1. ระดับนโยบาย

“เราจะไม่นําข้อมูลที่สามารถระบุถึงตัวตนของผู้ใช้บริการไปเปิดเผยแก่บุคคลภายนอกโดยไม่ได้รับอนุญาตจากผู้ใช้บริการ เว้นแต่เป็นไปตามบทบัญญัติแห่งกฎหมาย”

1.1 ข้อมูลที่เราสามารถนำไปเปิดเผยได้โดยไม่ต้องได้รับความยินยอมจากลูกค้า

ข้อมูลที่เราสามารถนำไปใช้ได้โดยไม่ต้องได้รับความยินยอมจากลูกค้าคือข้อมูลที่ไม่สามารถระบุตัวตนได้ครับ หรือเป็นข้อมูลที่เป็นแบบโดยรวม เช่น ธุรกิจประเภทนี้ หรือธุรกิจในพื้นที่นี้ หรือการกำหนดเป็นกลุ่ม เป็นประเภทที่ไม่สามารถตรวจสอบตัวตนได้ครับ โดยเราจะนำข้อมูลนี้ไปใช้เพื่อ เช่น ทำรายงานสถิติทางธุรกิจ ข้อมูลเผยแพร่ หรือข้อมูลเปรียบเทียบอุตสาหกรรม เป็นต้น ข้อมูลที่จะนำไปใช้จะเป็นพวกรายได้ ค่าใช้จ่าย หรืออัตราส่วนทางการเงินต่างๆครับ โดยเราจะนำข้อมูลของทุกๆราย หรือบางรายมาแสดง แต่จะไม่สามารถตรวจสอบย้อนกลับได้ว่าข้อมูลนั้นๆเป็นของลูกค้ารายใดครับ

1.2 ข้อมูลที่เราสามารถนำไปเปิดเผยได้โดยต้องได้รับความยินยอม/ร้องขอให้บริการจากลูกค้า

เมื่อเราให้บริการประเมินเความเสี่ยงทางการเงิน (credit analysis) และลูกค้าต้องการทราบข้อมูลความเสี่ยงทางการเงินของตนเอง เพื่อนำไปใช้ประกอบการกู้ธนาคาร หรือธนาคารร้องขอให้ประเมินความเสี่ยงทางการเงิน โดยความร่วมมือของลูกค้า เราก็จะนำข้อมูลความเสี่ยงทางการเงินนี้ ไปให้ธนาคารได้ครับ

1.3 ข้อมูลที่เราจำเป็นต้องเปิดเผยตามคำสั่งศาล โดยไม่ต้องรอความยินยอมจากลูกค้า

ถ้าหากมีคำสั่งศาลให้เปิดเผยข้อมูล เพื่อป้องกันการทุจริต การฟอกเงิน หรือจากเหตุอื่นๆที่เราได้รับคำสั่งศาลให้เปิดเผยข้อมูลของลูกค้า อันนี้เราก็จำเป็นต้องเปิดเผยแม้ลูกค้าจะไม่ได้ยินยอมครับ

นอกจากกรณีที่ 1.1, 1.2, 1.3 เราไม่สามารถเปิดเผยข้อมูลของลูกค้าให้บุคคลภายนอกได้ครับ

2. ระดับปฏิบัติการ

เรามีการแบ่งระดับการเข้าถึงฐานข้อมูล ซึ่งผู้ไม่เกี่ยวข้องในการพัฒนาระบบก็ไม่สามารถเข้าถึงได้เลย ผมเองก็ไม่สามารถเข้าได้เช่นกันครับ และในการเข้าถึงฐานข้อมูลก็จะมีการเก็บ log หรือบันทึกร่องรอยการเข้าใช้งานครับ ดังนั้นถ้ามีเหตุการณ์อะไรก็สามารถตรวจสอบย้อนกลับได้ครับว่าเกิดอะไรขึ้น

3. ระดับโครงสร้างพื้นฐาน

เราเป็น Microsoft BizSpark Plus Partner ครับ เราจึงได้รับการสนับสนุนด้านโครงสร้างพื้นฐานอย่างเช่น Server จากทาง Microsoft ซึ่งเป็น cloud server ดังนั้นการเข้าถึงข้อมูลที่อยู่ในฐานข้อมูลทางกายภาพ (Physical access) จึงเป็นไปได้ยากมากครับ ทาง Microsoft เองก็มีระบบรักษาความปลอดภัยที่เชื่อถือได้ครับ

4. ระดับการเชื่อมต่อข้อมูล

เราใช้การเข้ารหัส SSL แบบ 256-bit ซึ่งเป็นมาตรฐานเดียวกันกับธนาคาร ดังนั้นจึงเป็นไปได้ยากมากที่จะทำการดักข้อมูลที่เชื่อมต่อกันระหว่างหน้าจอของลูกค้ากับฐานข้อมูลของเรา และถึงแม้จะสามารถดักข้อมูลไปได้ ก็ไม่สามารถที่จะเปิดอ่านได้ เนื่องจากข้อมูลได้ถูกเข้ารหัสไว้เพื่อความปลอดภัยของข้อมูลของคุณ


 

แล้วข้อมูลของคุณจะไม่ปลอดภัยได้อย่างไร?

สิ่งที่เป็นจุดอ่อนที่สุดของทุกๆ ระบบการใช้งานออนไลน์ (ไม่ว่าจะเป็นอีเมล เฟสบุ๊ค หรือแม้แต่ธนาคาร) ก็คือ ID และรหัสผ่านของตัวผู้ใช้งานครับ เพราะว่าถ้ามีการเข้าใช้งานด้วย ID PW ของผู้ใช้งานเอง ระบบจะไม่สามารถป้องกันใดๆได้ เพราะจะเสมือนมีผู้ใช้งานเป็นผู้เข้าไปในระบบเอง ดังนั้นทางที่ดีที่สุดคือควรทำตามคำแนะนำดังนี้ครับ

1. ไม่ตั้ง ID และ Password ที่เหมือนกับการใช้งานระบบ (website) อื่นๆ เช่น ควรสร้าง Password แบบชื่อ website 3 ตัวแรก + 3 ตัวสุดท้าย + Password จริงๆของคุณ เป็นต้น

2. ควรเปลี่ยน Password อยู่สม่ำเสมอ เช่น ควรจะเป็น Password ทุกๆ 3 เดือน หรือกำหนดเวลาที่ไม่แน่นอน เพื่อป้องกันไม่ให้มีคนรู้ Password

3. ไม่ควร “จด” หรือบอก Password ของคุณกับผู้อื่น

4. ไม่ควรกำหนด Password ที่สั้น หรือง่ายเกินไป