TimeTec - Cloud Solutions for Workforce Management
ข้อมูลความปลอดภัย
ความเป็นส่วนตัวและสถาปัตยกรรมในบริการพื้นฐานของคลาวน์
  ดาวน์โหลดไฟล์ PDF
บทนำ: เส้นทางทั้งหมดมุ่งหน้าสู่คลาวน์

โลกกำลังค้ำจุนคลื่นของการกระจัดกระจายทางเทคโนโลยีในเกือบทุกอุตสาหกรรมและศูนย์กลางของทั้งหมดนี้เป็นโซลูชันแบบคลาวด์ที่ใช้แทน technology stacks ที่มีอยู่และปัจจุบันโลกกำลังใช้อยู่ ซึ่งการเปลี่ยนแปลงและนวัตกรรมในยุคคลาวด์คอมพิวติ้งและระยะเวลาการเคลื่อนไหวที่ชาญฉลาดนี้กำลังเกิดขึ้นอย่างรวดเร็วจากหลายทิศทางและเกิดขึ้นอย่างต่อเนื่องกว่าที่เคย โดยการทำธุรกิจและสภาพแวดล้อมแบบคลาวด์ต้องการให้องค์กรต่างๆจัดทำกลยุทธ์ก่อนเวลา มีส่วนร่วมกับลูกค้าและให้การตอบสนองอย่างรวดเร็วเพื่อรักษาความอยู่รอดเนื่องจากการทำโซลูชันระบบคลาวด์ไม่ได้ทำให้คุณรู้สึกถึงเวลาที่จะคิดสะท้อนและปรับตัวได้
TimeTec เป็นแบรนด์ระดับโลกที่มีชื่อเสียงที่ให้บริการโซลูชั่นระบบคลาวด์สำหรับการจัดการความปลอดภัยและการจัดการพนักงานสำหรับอุตสาหกรรมต่างๆทั่วโลก ในฐานะผู้พัฒนาระบบคลาวน์ ซึ่ง TimeTec ได้ปฏิบัติตามข้อกำหนดต่อไปนี้ทั้งหมดโดยมีวัตถุประสงค์หลักเพื่อรักษาความไว้วางใจและความเชื่อมั่นของลูกค้าต่อแบรนด์ของเรา


19 ข้อกังวลด้านความปลอดภัยหลักที่นักพัฒนาระบบคลาวด์ต้องการนำเสนอ

ความไว้วางใจจากลูกค้าเป็นสิ่งสำคัญยิ่งในการสร้างและรักษาธุรกิจแบบคลาวด์และผู้ให้บริการจะต้องทุ่มเทในการบรรลุและรักษามันไว้โดยการให้ความปลอดภัยและความเป็นส่วนตัวที่เข้มงวดซึ่งจะดูแลปกป้องข้อมูลของลูกค้าในทุกโซลูชั่นรวมถึงข้อมูลที่ได้รับจากลูกค้าผ่านการบริการ
  1. การแยกสถาปัตยกรรมและข้อมูล
บริการที่ดำเนินการและนำเสนอในระบบคลาวด์จะต้องอาศัยอยู่ในสถาปัตยกรรมแบบหลายระดับซึ่งลูกค้าสามารถดูการเข้าถึงข้อมูลได้โดยอิงตามการให้สิทธิ์ที่ได้รับมอบหมายจากบริษัทเท่านั้น โดยมีการแยกข้อมูลเชิงตรรกะที่มีประสิทธิภาพผ่านการระบุพนักงานที่ไม่ซ้ำใครซึ่งอนุญาตให้เข้าถึงข้อมูลตามสิทธิ์ของบทบาทหน้าที่ ซึ่งการแยกข้อมูลจะต้องดำเนินการโดยการแยกสภาพแวดล้อมสำหรับหน้าที่ที่แตกต่างกัน เช่น สำหรับการทดสอบและการผลิต
  2. การควบคุมการประมวลผล
เพื่อให้มั่นใจว่าข้อมูลจะได้รับการประมวลผลตามที่ได้รับคำสั่งจากลูกค้าตลอดห่วงโซ่กิจกรรมการประมวลผลและการปฏิบัติตามมาตรการที่ใช้ซึ่งต้องได้รับการตรวจสอบแล้ว
  3. การตรวจสอบและรับรอง
อย่างน้อยปีละครั้ง บริการทั้งหมดที่เสนอจะต้องผ่านการประเมินด้านความปลอดภัยโดยบุคลากรภายในซึ่งรวมถึงการประเมินความเสี่ยงด้านโครงสร้างพื้นฐานและการประเมินความปลอดภัยของแอพพลิเคชัน
  4. ความปลอดภัยของข้อมูล Log
ระบบทั้งหมดที่ใช้ในการถ่ายทอดการบริการที่นำเสนอรวมถึงระบบปฏิบัติการ, ข้อมูล log ไปยังสิ่งอำนวยความสะดวกเพื่อเข้าสู่ระบบแอพพลิเคชันที่เกี่ยวข้องหรือเซิร์ฟเวอร์ syslog ส่วนกลาง (สำหรับระบบเครือข่าย) จะถูกเก็บไว้เพื่อให้สามารถตรวจสอบความปลอดภัยและการวิเคราะห์ระบบและบันทึกการใช้งานได้ โดยเก็บไว้อย่างน้อยหกสิบ (60) วัน
  5. การควบคุมความปลอดภัย
บริการผ่านทาง Internet Browser หรือแอพมือถือจะต้องมีคุณคุณสมบัติด้านความปลอดภัยที่หลากหลายซึ่งสามารถกำหนดค่าได้ โดยรวมการควบคุมเหล่านี้แต่ไม่จำกัด สิ่งต่อไปนี้:
 
•  รหัสผู้ใช้เป็นตัวระบุผู้ใช้ที่ไม่ซ้ำกันเพื่อให้แน่ใจว่ากิจกรรมสามารถตรวจสอบย้อนกลับไปยังแต่ละบุคคลได้
•  การใช้การควบคุม reCaptcha เพื่อเรียกร้องสิทธิ์ในการเข้าใช้งานหลายครั้งติดต่อกัน
•  ยุติเซสชันของผู้ใช้หลังจากไม่มีการใช้งาน
•  ควบคุมความยาวของรหัสผ่าน
•  เพื่อให้ตรงกับข้อกำหนดความซับซ้อนของรหัสผ่าน
  6. นโยบายและขั้นตอนด้านความปลอดภัย
บริการที่นำเสนอต้องเป็นไปตามนโยบายและขั้นตอนต่อไปนี้เพื่อเพิ่มความปลอดภัย:
 
•  รหัสผ่านของผู้ใช้จะถูกเก็บรักษาโดยใช้รูปแบบ salted hash และไม่ได้รับการเข้ารหัส
•  รายการบันทึกการเข้าใช้งานของผู้ใช้จะถูกเก็บรักษาไว้ซึ่งประกอบด้วยวันที่, เวลา, URL ที่ดำเนินการหรือรหัสเอนทิตีที่ดำเนินการอยู่, การดำเนินการ (ดู, แก้ไข ฯลฯ ) และที่อยู่ IP ต้นทาง โดยโปรดทราบว่าที่อยู่ IP ต้นทางอาจไม่สามารถใช้งานได้ ถ้า NAT หรือ (Network Address Translation) หรือ PAT (Port Address Translation) ถูกใช้โดยลูกค้าหรือ ISP
•  log จะถูกจัดเก็บไว้ในโฮสต์แบบปลอดภัยเพื่อป้องกันการปลอมแปลง
•  รหัสผ่านจะไม่ถูกบันทึกไว้
  7. การตรวจจับการบุกรุก
บริการที่นำเสนอต้องได้รับการตรวจสอบสำหรับการบุกรุกที่ไม่ได้รับอนุญาตโดยใช้กลไกการตรวจจับการบุกรุกบนเครือข่าย โดยนักพัฒนาซอฟต์แวร์หรือบุคคลที่สามที่ได้รับมอบหมายให้ทำภารกิจนั้น ข้อมูลที่รวบรวมโดยเว็บเบราเซอร์ของผู้ใช้ (เช่น ประเภทของอุปกรณ์, ความละเอียดของหน้าจอ, เขตเวลา, เวอร์ชั่นระบบปฏิบัติการ, ประเภทเบราเซอร์และเวอร์ชั่น, ระบบอักษร, ติดตั้งปลั๊กอินของเบราว์เซอร์, ชนิด MIME ที่เปิดใช้งาน ฯลฯ ) อาจถูกวิเคราะห์เพื่อความปลอดภัย เพื่อป้องกันการปลอมแปลงเอกสารและเพื่อให้มั่นใจว่าบริการที่นำเสนอสามารถทำงานได้อย่างถูกต้อง
  8. การจัดการเหตุการณ์
ผู้ให้บริการจำเป็นต้องรักษานโยบายและขั้นตอนการจัดการเหตุขัดข้องด้านความปลอดภัยและแจ้งให้ลูกค้าที่ได้รับผลกระทบโดยไม่ล่าช้าเกินควรจากการเปิดเผยข้อมูลลูกค้าของตนโดยไม่ได้รับอนุญาตจากนักพัฒนาซอฟต์แวร์หรือตัวแทน ซึ่งนักพัฒนาซอฟต์แวร์จะต้องตระหนักถึงขอบเขตที่กฎหมายอนุญาต
  9. การตรวจสอบผู้ใช้
การเข้าถึงบริการที่นำเสนอทั้งหมดผ่านทางอินเทอร์เน็ตเบราว์เซอร์แอพมือถือ หรือผ่านทาง API ซึ่งต้องการการรวม ID ผู้ใช้และรหัสผ่านที่ถูกต้องซึ่งเข้ารหัสโดยใช้ HTTPS ขณะที่กำลังรับส่ง หลังจากการตรวจสอบความถูกต้องสำเร็จ ระบบจะสร้างเซสชันสุ่มรหัสและเก็บไว้ในเบราว์เซอร์ของผู้ใช้เพื่อรักษาสถานะและติดตามสถานะเซสชัน
  10. การรักษาความปลอดภัยทางกายภาพ
ถ้าศูนย์ข้อมูลการผลิตที่ใช้ในการให้บริการที่ครอบคลุมจะได้รับการจัดการโดยบริการภายนอก ให้ดูรายละเอียดขั้นตอนความปลอดภัยที่: AWS Security Whitepaper.pdf
  11. ความน่าเชื่อถือและการสำรองข้อมูล
องค์ประกอบเครือข่ายทั้งหมด, load balancers, เว็บเซิร์ฟเวอร์และเซิร์ฟเวอร์แอ็พพลิเคชันจะถูกกำหนดค่าในการกำหนดค่าซ้ำซ้อน โดยข้อมูลลูกค้าทั้งหมดที่ส่งไปยังบริการที่ครอบคลุมจะถูกจัดเก็บไว้ในเซิร์ฟเวอร์ฐานข้อมูลหลักที่มีการสำรองข้อมูลโดยอัตโนมัติโดยใช้คุณลักษณะการกู้คืนแบบเลือกเวลาที่ต้องการ ซึ่งข้อมูลสำรอง AMI ทุกวันจะถูกเก็บไว้อย่างน้อย 2 วันและการสำรองข้อมูล AMI รายสัปดาห์จะถูกเก็บไว้อย่างน้อยหนึ่งเดือน
  12. การกู้คืนข้อมูลเมื่อเกิดภัยพิบัติ
ระบบการผลิตการบริการที่เสนอจะต้องได้รับการปกป้องโดยแผนกู้คืนระบบแบบหลายชั้นซึ่งจะช่วยในการสำรองข้อมูลสำคัญ ๆ และบริการต่างๆ โดยมีกระบวนการกู้คืนข้อมูลที่ครอบคลุมเพื่อนำระบบธุรกิจที่สำคัญกลับมาออนไลน์ภายในระยะเวลาสั้นที่สุดที่เป็นไปได้ ซึ่งกระบวนการกู้คืนข้อมูลสำหรับฐานข้อมูล, การรักษาความปลอดภัย, การบริหารระบบและการกำหนดค่าเครือข่ายและข้อมูลเพื่อเป็นแนวทางสำหรับบุคลากรในการทำให้กระบวนการต่างๆพร้อมใช้งานหลังจากเกิดความขัดข้องในการให้บริการ
  13. ไวรัส
บริการที่นำเสนอจะไม่สแกนหาไวรัสที่อาจรวมอยู่ในเอกสารแนบหรือข้อมูลอื่น ๆ ที่อัพโหลดลงในบริการที่นำเสนอโดยลูกค้า โดยการอัพโหลดเอกสารแนบจะไม่ถูกเรียกใช้ในบริการที่นำเสนอ ดังนั้นจะไม่เกิดความเสียหายหรือทำให้บริการออนไลน์ได้รับผลกระทบเสียหายจากการติดไวรัส
  14. การเข้ารหัสข้อมูล
บริการที่นำเสนอต้องใช้ผลิตภัณฑ์เข้ารหัสที่เป็นที่ยอมรับของอุตสาหกรรมเพื่อปกป้องข้อมูลลูกค้าและการสื่อสารระหว่างการส่งข้อมูลระหว่างเครือข่ายของลูกค้ากับบริการที่ครอบคลุมซึ่งรวมถึงใบรับรอง TLS แบบ 128 บิตและเทคโนโลยีกุญแจสาธารณะ RSA 2048 บิต เป็นอย่างน้อยที่สุด
  15. การส่งคืนข้อมูลลูกค้า
ข้อมูลลูกค้าที่ส่งไปยังบริการที่นำเสนอจะถูกส่งคืนให้กับลูกค้าตามที่ร้องขอ
  16. การลบข้อมูลลูกค้า
หลังจากสิ้นสุดการให้บริการ ลูกค้าสามารถขอลบข้อมูลของลูกค้าที่ส่งไปยังบริการที่นำเสนอและขั้นตอนนี้อยู่ภายใต้ข้อกำหนดทางกฎหมายที่บังคับใช้ โดยข้อมูลลูกค้าที่เก็บไว้ในโครงสร้างพื้นฐานสำหรับบริการที่นำเสนอจะถูกลบตามลำดับ
  17. ข้อมูลที่ละเอียดอ่อน
สำคัญ: ข้อมูลส่วนบุคคลที่ละเอียดอ่อนต่อไปนี้อาจไม่สามารถส่งไปยังการบริการที่นำเสนอ:ข้อมูลทางการเงิน (เช่น หมายเลขบัตรเครดิตหรือเดบิต, รหัสรักษาความปลอดภัยหรือรหัสผ่านที่เกี่ยวข้องใด ๆ และหมายเลขบัญชีธนาคาร) ข้อมูลเกี่ยวกับสุขภาพกายหรือสุขภาพจิตของแต่ละบุคคลและข้อมูลเกี่ยวกับบทบัญญัติหรือการจ่ายค่ารักษาพยาบาล ซึ่งเพื่อความชัดเจน, ข้อจำกัดข้างต้นนี้ไม่มีผลบังคับใช้กับข้อมูลทางการเงินที่จัดหาให้กับนักพัฒนาซอฟต์แวร์เพื่อวัตถุประสงค์ในการตรวจสอบคุณสมบัติทางการเงินของ, และการเรียกเก็บเงินจากลูกค้าของบริษัท
  18. การวิเคราะห์
นักพัฒนาซอฟต์แวร์สามารถติดตามและวิเคราะห์การใช้บริการที่นำเสนอเพื่อความปลอดภัยและช่วยผู้พัฒนาปรับปรุงทั้งบริการที่นำเสนอและประสบการณ์ของผู้ใช้ในการใช้บริการที่นำเสนอ

นักพัฒนาซอฟต์แวร์อาจแชร์ข้อมูลการใช้งานที่ไม่ระบุชื่อกับผู้ให้บริการเพื่อช่วยในการติดตามการวิเคราะห์และการปรับปรุงดังกล่าว นอกจากนี้นักพัฒนาซอฟต์แวร์อาจแบ่งปันข้อมูลการใช้งานที่ไม่ระบุตัวตนดังกล่าวโดยรวมตามปกติในการดำเนินธุรกิจ ตัวอย่างเช่น เราอาจแชร์ข้อมูลต่อสาธารณชนเพื่อแสดงแนวโน้มเกี่ยวกับการใช้บริการของเราโดยทั่วไป
  19. การบูรณาการและการมีปฏิสัมพันธ์กับบริการอื่น ๆ
นักพัฒนาซอฟต์แวร์ที่ให้บริการอาจรวมหรือทำงานร่วมกับบริการอื่น ๆ ที่พัฒนาโดยผู้พัฒนาหรือบุคคลที่สาม ซึ่งนักพัฒนาซอฟต์แวร์สามารถให้บริการในหลายแพลตฟอร์มและคุณลักษณะที่ช่วยให้ผู้ใช้สามารถเรียนรู้เกี่ยวกับผลิตภัณฑ์, มีส่วนร่วมในชุมชน, เชื่อมต่อแอพพลิเคชันของบุคคลที่สามและเข้าร่วมทดสอบและประเมินผลซึ่งอยู่นอกเหนือขอบเขตของเอกสารนี้ โดยการติดต่อสื่อสารกับผู้ใช้ที่เข้าร่วมในแพลตฟอร์มและคุณลักษณะดังกล่าวในลักษณะที่ต้องสอดคล้องกับคำชี้แจงสิทธิส่วนบุคคล นอกจากนี้นักพัฒนาซอฟต์แวร์สามารถติดต่อผู้ใช้เพื่อให้ข้อมูลการทำธุรกรรมเกี่ยวกับบริการที่นำเสนอ เช่น ผ่านผู้จัดการบัญชีหรือผ่านข้อความอีเมลที่ระบบสร้างขึ้น ซึ่งนักพัฒนาซอฟต์แวร์ต้องให้ลูกค้าและผู้ใช้สามารถปิดการใช้งานหรือเลือกรับข้อความดังกล่าวได้
โซลูชันระบบคลาวด์สำหรับ Checkout โดย TimeTec ที่
www.timeteccloud.com