เลือกเอกสาร
นโยบายความปลอดภัยของข้อมูล PhotoRobot
เอกสารนี้กําหนดนโยบายความปลอดภัยของข้อมูล PhotoRobot อธิบายหลักการ ความรับผิดชอบ และการควบคุมที่ PhotoRobot นํามาใช้เพื่อปกป้องระบบ ข้อมูล และข้อมูลลูกค้า นโยบายความปลอดภัยของข้อมูลสนับสนุนการปฏิบัติตามภาระผูกพันตามสัญญาของ PhotoRobot ภายใต้ DPA และ SLA
วัตถุประสงค์
- รับรองการรักษาความลับ ความสมบูรณ์ และความพร้อมใช้งานของระบบและข้อมูลทั้งหมด
- กําหนดบทบาทและความรับผิดชอบที่ชัดเจนสําหรับความปลอดภัยของข้อมูล
- รักษาการปฏิบัติตาม GDPR และแนวทางปฏิบัติที่ดีที่สุดของอุตสาหกรรม
- จัดให้มีการกํากับดูแลการบริหารความเสี่ยงและการปรับปรุงอย่างต่อเนื่อง
ขอบเขต
ครอบคลุม:
- แพลตฟอร์ม PhotoRobot Cloud
- โครงสร้างพื้นฐานที่โฮสต์บน Google Cloud Platform
- ระบบสนับสนุนและกระบวนการภายใน
- พนักงาน ผู้รับเหมา และบุคคลที่สาม
บทบาทและความรับผิดชอบ
- CTO / หัวหน้าฝ่ายวิศวกรรม: ความรับผิดชอบโดยรวมสําหรับความปลอดภัยของแพลตฟอร์ม
- DevOps: ใช้และบํารุงรักษาการควบคุมความปลอดภัยบนคลาวด์
- ผู้พัฒนา: ปฏิบัติตามการเข้ารหัสที่ปลอดภัยและมาตรฐาน SDLC
- ทีมสนับสนุน: จัดการเหตุการณ์และการแจ้งเตือนของลูกค้า
หลักการรักษาความปลอดภัย
- สิทธิพิเศษ ขั้นต่ํา
- การเข้าถึง ที่ต้องรู้
- การแบ่งแยกหน้าที่
- แนวทาง Zero-trust
- การรักษาความปลอดภัยโดยการออกแบบ
การป้องกันทางเทคนิค
- การเข้ารหัส (TLS, AES-256)
- การตรวจสอบสิทธิ์ SSO ผ่าน Google Identity
- บทบาท RBAC แบบละเอียด
- การบันทึกและการตรวจสอบระบบคลาวด์ของ GCP
- การแพตช์โครงสร้างพื้นฐานอัตโนมัติ
- การสํารองข้อมูลรายวันพร้อมความสามารถในการกู้คืน
การป้องกันองค์กร
- ขั้นตอน การเริ่มต้นใช้งานและการปลดประจําการ
- ความคาดหวังด้านความปลอดภัยของอุปกรณ์
- ภาระผูกพันในการรักษาความลับ
- การตระหนักถึงความปลอดภัยที่จําเป็น
การบริหารความเสี่ยง
- ประเมินความเสี่ยงเป็นระยะ
- การควบคุมที่อัปเดตตามผลการวิจัย
- เหตุการณ์ด้านความปลอดภัยได้รับการบันทึกและตรวจสอบ
การปฏิบัติตามกฎระเบียบ
- การประมวลผลที่สอดคล้องกับ GDPR
- DPA พร้อมใช้งานสําหรับลูกค้า
- ผู้ประมวลผลย่อยที่แสดงต่อสาธารณะ
การปรับปรุงอย่างต่อเนื่อง
- การตรวจสอบการควบคุมเป็นประจํา
- อัปเกรดเป็นการกําหนดค่าความปลอดภัยบนคลาวด์
- การตรวจสอบภัยคุกคามที่เกิดขึ้นใหม่