ศูนย์ความเชื่อถือ
ความปลอดภัย
มาตรการทางเทคนิคและองค์กรของ PhotoRobot (TOM)
เลือกเอกสาร
PhotoRobot Security - ภาพรวม
สถาปัตยกรรม PhotoRobot และการไหลของข้อมูล
สรุปมาตรการรักษาความปลอดภัยของ PhotoRobot
ภาพรวมความต่อเนื่องทางธุรกิจและ DR ของ PhotoRobot
สรุปการกํากับดูแล PhotoRobot AI
นโยบายความปลอดภัยของข้อมูล PhotoRobot
นโยบายการควบคุมการเข้าถึง PhotoRobot
นโยบายการตอบสนองต่อเหตุการณ์ของ PhotoRobot
นโยบายการสํารองข้อมูล PhotoRobot
นโยบายการกู้คืนจากภัยพิบัติของ PhotoRobot
นโยบายความปลอดภัยของ PhotoRobot SDLC
นโยบายการจัดการการเปลี่ยนแปลง PhotoRobot
มาตรฐานการบันทึกและการตรวจสอบ PhotoRobot
มาตรการทางเทคนิคและองค์กรของ PhotoRobot (TOM)
แก้ไขล่าสุด: 30 ธ.ค. 2025

มาตรการทางเทคนิคและองค์กรของ PhotoRobot (TOM)

เอกสารนี้กําหนดมาตรการทางเทคนิคและองค์กร (TOM) ของ PhotoRobot ตามมาตรา 32 GDPR: เวอร์ชัน 1.0 – PhotoRobot Edition, uni-Robot Ltd., สาธารณรัฐเช็ก เอกสารได้รับการปรับปรุงล่าสุด ณ วันที่ 31 ธันวาคม 2025 และสนับสนุนการปฏิบัติตามภาระผูกพันตามสัญญาของ PhotoRobot ภายใต้ DPA และ SLA

1. บทนํา - PhotoRobot TOMs

เอกสารนี้อธิบายถึงมาตรการทางเทคนิคและองค์กร (TOMs) ที่ดําเนินการโดย uni-Robot Ltd. (PhotoRobot) เพื่อให้แน่ใจว่ามีระดับความปลอดภัยที่เหมาะสมสําหรับการประมวลผลข้อมูลส่วนบุคคลตามมาตรา 32 ของกฎระเบียบการคุ้มครองข้อมูลทั่วไป (GDPR)

มาตรการเหล่านี้ใช้กับการดําเนินงานของบริการ PhotoRobot ซึ่งรวมถึงแต่ไม่จํากัดเพียง:

  • PhotoRobot ควบคุมระบบคลาวด์
  • PhotoRobot คลาวด์ 2.0
  • PhotoRobot Controls Local (เมื่อเชื่อมต่อกับบริการคลาวด์)
  • API และบริการออนไลน์ที่เกี่ยวข้อง
  • สนับสนุนโครงสร้างพื้นฐานและระบบภายใน

เอกสารนี้ทําหน้าที่เป็นคําอธิบายที่เชื่อถือได้ของ TOM ของ PhotoRobot และอาจอ้างอิงในข้อตกลงการประมวลผลข้อมูล (DPA) การตรวจสอบ และการตรวจสอบความปลอดภัยขององค์กร

2. ขอบเขตและการบังคับใช้

TOM ที่อธิบายไว้ในที่นี้ใช้กับ:

  • ข้อมูลส่วนบุคคลที่ประมวลผลในนามของลูกค้าซึ่งเป็นส่วนหนึ่งของบริการ PhotoRobot
  • ข้อมูลการดําเนินงานภายในที่จําเป็นในการให้บริการ บํารุงรักษา และรักษาความปลอดภัยของบริการ

มาตรการได้รับการออกแบบโดยคํานึงถึง:

  • ล้ําสมัย
  • ค่าใช้จ่ายในการดําเนินการ
  • ลักษณะ ขอบเขต บริบท และวัตถุประสงค์ของการประมวลผล
  • ความเสี่ยงต่อสิทธิและเสรีภาพของบุคคลธรรมดา

3. มาตรการรักษาความปลอดภัยขององค์กร

3.1. การกํากับดูแลความปลอดภัยของข้อมูล

PhotoRobot รักษานโยบายและขั้นตอนภายในที่ควบคุมความปลอดภัยของข้อมูล การปกป้องข้อมูล และการใช้ระบบที่ยอมรับได้

ความรับผิดชอบในการรักษาความปลอดภัยและการปกป้องข้อมูลถูกกําหนดไว้อย่างชัดเจนภายในองค์กร รวมถึงผู้ติดต่อที่กําหนดไว้สําหรับความเป็นส่วนตัวและเรื่องกฎหมาย

3.2. การรักษาความลับและการรับรู้ของพนักงาน

  • พนักงานและผู้รับเหมามีภาระผูกพันในการรักษาความลับ
  • การเข้าถึงระบบได้รับอนุญาตตาม ความจําเป็นที่ต้องรู้
  • การตระหนักถึงความปลอดภัยและการปกป้องข้อมูลได้รับการส่งเสริมโดยเป็นส่วนหนึ่งของการเริ่มต้นใช้งานและการดําเนินงานอย่างต่อเนื่อง

4. การควบคุมการเข้าถึงและการอนุญาต

4.1. การควบคุมการเข้าถึงตามบทบาท (RBAC)

การเข้าถึงระบบและข้อมูลลูกค้าถูกควบคุมโดยใช้หลักการควบคุมการเข้าถึงตามบทบาท (RBAC)

  • ผู้ใช้จะได้รับสิทธิ์ขั้นต่ําที่จําเป็นในการปฏิบัติงานของตน
  • การเข้าถึงระดับผู้ดูแลระบบถูกจํากัดไว้เฉพาะบุคลากรที่ได้รับอนุญาตเท่านั้น

4.2. การรับรองความถูกต้อง

  • กลไกการรับรองความถูกต้องที่รัดกุมใช้สําหรับระบบภายในและภายนอก
  • นโยบายรหัสผ่านและข้อมูลรับรองการเข้าถึงได้รับการจัดการอย่างปลอดภัย
  • ต้องไม่แชร์ข้อมูลประจําตัวการเข้าถึง

5. โครงสร้างพื้นฐานและความปลอดภัยของเครือข่าย

5.1. โฮสติ้งและโครงสร้างพื้นฐานระบบคลาวด์

บริการ PhotoRobot โฮสต์บนผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์ระดับมืออาชีพ (เช่น Google Cloud Platform) ซึ่งใช้การควบคุมความปลอดภัยทางกายภาพและสิ่งแวดล้อมตามมาตรฐานอุตสาหกรรม

5.2. การป้องกันเครือข่าย

  • การรับส่งข้อมูลเครือข่ายได้รับการปกป้องโดยใช้ไฟร์วอลล์และการควบคุมการเข้าถึง
  • บริการที่เชื่อมต่อกับสาธารณะถูกแยกออกจากระบบภายใน
  • ส่วนประกอบโครงสร้างพื้นฐานได้รับการตรวจสอบสําหรับความพร้อมใช้งานและเหตุการณ์ด้านความปลอดภัย

6. การเข้ารหัสและการปกป้องข้อมูล

6.1. ข้อมูลระหว่างการส่ง

  • ข้อมูลที่ส่งระหว่างไคลเอนต์และบริการ PhotoRobot ได้รับการเข้ารหัสโดยใช้ TLS/HTTPS
  • มีการบังคับใช้ช่องทางการสื่อสารที่ปลอดภัยสําหรับ API และอินเทอร์เฟซระบบคลาวด์

6.2. ข้อมูลที่ไม่ได้ใช้งาน

  • ข้อมูลที่จัดเก็บภายในโครงสร้างพื้นฐานระบบคลาวด์ได้รับการปกป้องโดยใช้กลไกการเข้ารหัสที่ผู้ให้บริการโฮสติ้งจัดเตรียมไว้ให้
  • การเข้าถึงข้อมูลที่จัดเก็บถูกจํากัดไว้เฉพาะระบบและบุคลากรที่ได้รับอนุญาตเท่านั้น

7. การบันทึก การตรวจสอบ และการตรวจจับเหตุการณ์

7.1. การบันทึก

  • บันทึกของระบบถูกสร้างขึ้นสําหรับเหตุการณ์ที่เกี่ยวข้องกับการดําเนินงานและความปลอดภัย
  • บันทึกใช้สําหรับการแก้ไขปัญหา การตรวจสอบ และการวิเคราะห์เหตุการณ์

7.2. การตรวจสอบ

  • บริการได้รับการตรวจสอบความพร้อมใช้งาน ประสิทธิภาพ และความผิดปกติ
  • การแจ้งเตือนจะถูกทริกเกอร์ในกรณีที่มีพฤติกรรมผิดปกติหรือการหยุดชะงักของบริการ

8. การตอบสนองต่อเหตุการณ์และการจัดการการละเมิด

PhotoRobot รักษาขั้นตอนในการจัดการเหตุการณ์ด้านความปลอดภัย รวมถึงการละเมิดข้อมูลส่วนบุคคล

ขั้นตอนเหล่านี้รวมถึง:

  • การระบุและประเมินเหตุการณ์
  • มาตรการบรรเทาและยับยั้ง
  • การยกระดับภายใน
  • การสื่อสารกับลูกค้าตามความจําเป็น
  • การปฏิบัติตามภาระผูกพันในการแจ้งการละเมิด GDPR (มาตรา 33 และ 34 ของ GDPR)

9. การสํารองข้อมูล ความพร้อมใช้งาน และความต่อเนื่องทางธุรกิจ

9.1. การสํารองข้อมูล

  • การสํารองข้อมูลจะดําเนินการเป็นส่วนหนึ่งของการดําเนินการระบบคลาวด์มาตรฐาน
  • การสํารองข้อมูลใช้เพื่อวัตถุประสงค์ในการกู้คืนจากภัยพิบัติและความต่อเนื่องของบริการ

9.2. ความพร้อมใช้งาน

  • มีความพยายามอย่างสมเหตุสมผลเพื่อรักษาความพร้อมใช้งานของบริการในระดับสูง
  • กิจกรรมการบํารุงรักษาตามแผนอาจทําให้บริการหยุดชะงักชั่วคราว

รายละเอียดเกี่ยวกับเป้าหมายความพร้อมใช้งานและเวลาตอบสนองจะอธิบายแยกต่างหากใน ข้อตกลงระดับการให้บริการ (SLA) ที่เกี่ยวข้อง

10. การพัฒนาที่ปลอดภัยและการจัดการการเปลี่ยนแปลง

10.1. แนวทางปฏิบัติในการพัฒนาที่ปลอดภัย

PhotoRobot ปฏิบัติตามกระบวนการพัฒนาและการปรับใช้ที่มีโครงสร้าง รวมถึง:

  • การแยกสภาพแวดล้อมการพัฒนา การทดสอบ และการผลิตตามความเหมาะสม
  • ขั้นตอนการปรับใช้ที่มีการควบคุม
  • การควบคุมเวอร์ชันและการติดตามการเปลี่ยนแปลง

10.2. การอัปเดตและการแพตช์

  • ส่วนประกอบซอฟต์แวร์ได้รับการอัปเดตเพื่อแก้ไขช่องโหว่ด้านความปลอดภัย
  • การอัปเดตที่สําคัญจะได้รับการจัดลําดับความสําคัญตามการประเมินความเสี่ยง

11. ผู้ประมวลผลช่วงและบุคคลที่สาม

PhotoRobot อาจว่าจ้างผู้ประมวลผลย่อยเพื่อสนับสนุนการให้บริการ (เช่น โฮสติ้ง บริการอีเมล)

  • ผู้ประมวลผลย่อยได้รับการคัดเลือกตามแนวทางปฏิบัติด้านความปลอดภัยและการปกป้องข้อมูล
  • รายชื่อผู้ประมวลผลย่อยในปัจจุบันได้รับการเก็บรักษาแยกต่างหากและเปิดเผยต่อสาธารณะ

12. ความปลอดภัยทางกายภาพ

การเข้าถึงเซิร์ฟเวอร์และศูนย์ข้อมูลทางกายภาพได้รับการจัดการโดยผู้ให้บริการโครงสร้างพื้นฐานระบบคลาวด์และรวมถึง:

  • การควบคุมการเข้าถึง
  • การเฝ้าระวังและการตรวจสอบ
  • การคุ้มครองสิ่งแวดล้อม

PhotoRobot ไม่ได้ดําเนินการศูนย์ข้อมูลของตัวเอง

13. การลดขนาดและการเก็บรักษาข้อมูล

  • ระบบจะประมวลผลเฉพาะข้อมูลที่จําเป็นสําหรับการให้บริการเท่านั้น
  • ข้อมูลส่วนบุคคลจะถูกเก็บรักษาไว้ตราบเท่าที่จําเป็นสําหรับวัตถุประสงค์ตามสัญญา กฎหมาย หรือการดําเนินงาน
  • ระยะเวลาการลบและการเก็บรักษาข้อมูลถูกกําหนดไว้ในนโยบายและข้อตกลงที่เกี่ยวข้อง

14. ทบทวนและอัปเดต

มาตรการทางเทคนิคและองค์กรเหล่านี้ได้รับการทบทวนเป็นระยะและปรับปรุงตามความจําเป็นเพื่อสะท้อนให้เห็นถึง:

  • การเปลี่ยนแปลงของเทคโนโลยี
  • การเปลี่ยนแปลงในบริการ
  • ข้อกําหนดด้านความปลอดภัยและกฎระเบียบที่เปลี่ยนแปลงไป

การเปลี่ยนแปลงที่สําคัญอาจแจ้งให้ลูกค้าทราบตามความเหมาะสม

15. ข้อมูลติดต่อ

สําหรับคําถามเกี่ยวกับมาตรการทางเทคนิคและองค์กรเหล่านี้:

บริษัท ยูนิ-โรบอท จํากัด

โวดิชโควา 710/31

110 00 ปราก 1

สาธารณรัฐเชก

อีเมล์: legal@photorobot.com

หมายเหตุ สุดท้าย

TOM เหล่านี้อธิบายถึงมาตรการทางเทคนิคและองค์กรในปัจจุบันของ PhotoRobot และมีจุดมุ่งหมายเพื่อให้ความโปร่งใสและความมั่นใจแก่ลูกค้า สิ่งเหล่านี้ไม่ถือเป็นการรับประกันการบริการที่ไม่หยุดชะงักหรือความปลอดภัยอย่างแท้จริง แต่สะท้อนให้เห็นถึงแนวทางที่อิงตามความเสี่ยงและได้สัดส่วนในการปกป้องข้อมูลและความปลอดภัยของข้อมูล