กลับ

ข้อมูลของเราปลอดภัยหรือไม่?

เราใช้โปรโตคอลมาตรฐานของอุตสาหกรรมและแนวปฏิบัติที่ดีที่สุดเพื่อปกป้องข้อมูลและความเป็นส่วนตัวของคุณ
ในสภาพแวดล้อมที่ซับซ้อนและมีการควบคุมในปัจจุบัน ผู้ใช้ของเราไว้วางใจให้เราปกป้องข้อมูลของพวกเขาด้วยเครื่องมือและแนวปฏิบัติที่สอดคล้องกับมาตรฐานอุตสาหกรรม หน้านี้ให้ภาพรวมของความพยายามที่ Netatoo ได้ดำเนินการเพื่อตอบสนองความต้องการเหล่านี้

ในสภาพแวดล้อมที่ซับซ้อนและมีการควบคุมในปัจจุบัน ผู้ใช้ของเราไว้วางใจให้เราปกป้องข้อมูลของพวกเขาด้วยเครื่องมือและแนวปฏิบัติที่สอดคล้องกับมาตรฐานอุตสาหกรรม หน้านี้ให้ภาพรวมของความพยายามที่ Netatoo ได้ดำเนินการเพื่อตอบสนองความต้องการเหล่านี้

ความปลอดภัยของฐานข้อมูลและการเข้าถึง

เริ่มต้นด้วยการรักษาความปลอดภัยชั้นการเก็บข้อมูลของเราโดย จำกัดการเข้าถึงฐานข้อมูล ของแอปพลิเคชันหลักของเราเฉพาะชั้นแอปพลิเคชันและชุดที่อยู่ IP ที่รู้จักซึ่งเป็นของ Netatoo การจำกัดการเข้าถึงนี้ทำได้โดยใช้การผสมผสานระหว่างกฎไฟร์วอลล์ กลไกการตรวจสอบสิทธิ์ (ที่ต้องการให้ผู้ใช้พิสูจน์ตัวตน) และการอนุญาตผ่านการอนุญาตตามบทบาท

การสำรองข้อมูลและการกู้คืนข้อมูล

เราจัดการกับความเป็นไปได้ของการสูญเสียข้อมูลแอปพลิเคชันอย่างรุนแรง (เช่น จากภัยพิบัติทางธรรมชาติ) โดยการสร้างการสำรองข้อมูลฐานข้อมูลโดยอัตโนมัติด้วย วิธีการสำรองข้อมูลแบบภูมิศาสตร์

  • เราสร้างการสำรองข้อมูลแบบเต็มและแบบต่างกัน ซึ่งแต่ละรายการถูกเข้ารหัสด้วยอัลกอริธึม AES-256
  • การสำรองข้อมูลฐานข้อมูลแบบเต็มจะเกิดขึ้นทุกๆ ไม่กี่ชั่วโมง ในขณะที่การสำรองข้อมูลแบบต่างกันจะเกิดขึ้นทุกๆ ชั่วโมง และการสำรองข้อมูลบันทึกการทำธุรกรรมจะเกิดขึ้นทุกๆ 10 ถึง 15 นาที
  • ในกรณีที่ข้อมูลสูญหาย เราสามารถกู้คืนข้อมูลไปยังช่วงเวลาที่เฉพาะเจาะจงเพื่อลดการสูญเสียข้อมูล ความสมบูรณ์ของการสำรองข้อมูลจะได้รับการตรวจสอบอย่างกึ่งอัตโนมัติและเป็นประจำเพื่อให้แน่ใจว่าข้อมูลที่จัดเก็บนั้นถูกต้อง
  • การสำรองข้อมูลจะถูกเก็บไว้เป็นเวลา 90 วัน จากนั้นจะถูกทำลาย

การตรวจสอบความปลอดภัยและการตรวจจับภัยคุกคาม

เพื่อช่วยให้เรารักษาความสอดคล้องกับกฎระเบียบ เข้าใจการทำงานของฐานข้อมูล และเข้าใจความแตกต่างและความผิดปกติที่อาจบ่งชี้ถึงการละเมิดความปลอดภัย (อีกด้านหนึ่งของ GDPR ของสหภาพยุโรป) เราได้ติดตั้งการตรวจสอบขั้นสูงที่ช่วยให้สามารถตรวจจับภัยคุกคามบนเซิร์ฟเวอร์ของเราได้ บริการเหล่านี้ตรวจจับภัยคุกคามที่อาจเกิดขึ้นเมื่อเกิดขึ้น (เช่น การเชื่อมต่อฐานข้อมูลที่ผิดปกติ ช่องโหว่ของการฉีด SQL) และแจ้งเตือนทีมของเราทันทีเพื่อให้สามารถดำเนินการที่จำเป็นได้ ในกรณีเฉพาะของ GDPR บริการนี้เป็นองค์ประกอบสำคัญของเครื่องมือทางเทคนิคที่ช่วยให้เราตรวจจับการละเมิดข้อมูลและแจ้งหน่วยงานกำกับดูแลในกรณีที่เกิดสถานการณ์ดังกล่าว

ความปลอดภัยของการเชื่อมต่อและโปรโตคอล HTTPS

ในระดับชั้นแอปพลิเคชัน เราบังคับให้คำขอที่เข้ามาทั้งหมดใช้การเชื่อมต่อ HTTPS ที่ปลอดภัย (HTTP บน TLS) ขึ้นอยู่กับอุปกรณ์ของลูกค้า การเชื่อมต่ออาจใช้ TLS 1.0, TLS 1.1.1 หรือ TLS 1.2 เราห้ามการเชื่อมต่อที่ใช้โปรโตคอล SSL 2 และ SSL 3 ที่ล้าสมัยและมีช่องโหว่

ส่วนหัวความปลอดภัย HTTP ขั้นสูง

การเชื่อมต่อ TLS ที่ยอมรับจะถูกเข้ารหัสด้วย ใบรับรอง SSL ที่ใช้มาตรฐานเว็บที่แข็งแกร่งที่สุด ในกรอบของการตอบสนอง HTTPS ทั้งหมด เซิร์ฟเวอร์ของเรารวมถึงส่วนหัวความปลอดภัยขั้นสูงหลายรายการ ซึ่งรวมถึง:

  • X-XSS-Protection สั่งให้เบราว์เซอร์สมัยใหม่หยุดการสื่อสารเมื่อพบการโจมตี XSS (Cross-site Scripting) ที่สะท้อนกลับ
  • Content-Security-Policy ขอให้เบราว์เซอร์ดำเนินการอย่างเข้มงวดเพื่อป้องกันการโจมตี cross-site scripting (XSS), การโจมตี clickjacking และการโจมตีด้วยการฉีดโค้ดอื่นๆ ที่เกิดจากการเรียกใช้เนื้อหาที่เป็นอันตรายในบริบทของหน้าเว็บที่เชื่อถือได้
  • Strict-Transport-Security หรือที่รู้จักกันในชื่อ HSTS ขอให้เบราว์เซอร์เข้าถึง ballejaune.com / openresa.com โดยใช้ HTTPS เท่านั้น (เช่น ไม่เคยใช้ HTTP) เราได้ติดตั้งส่วนหัวนี้ด้วยอายุการใช้งานที่ยาวนาน
  • Expect-CT ขอให้ลูกค้า/เบราว์เซอร์เว็บบังคับใช้ข้อกำหนดด้านความโปร่งใสของใบรับรอง (เช่น ตรวจสอบว่าใบรับรองของไซต์ของเราปรากฏในบันทึก CT สาธารณะ) ซึ่งช่วยป้องกันการใช้ใบรับรอง Netatoo ที่ไม่ถูกต้อง
  • Referrer-Policy ช่วยให้เราควบคุมค่าของส่วนหัว "referer" (sic) สำหรับลิงก์นอกหน้าเว็บของเรา ในกรณีของเรา เราระบุว่าส่วนหัว "referer" ไม่ควรถูกกำหนดเมื่อการนำทางส่งผลให้เกิดการลดระดับจาก HTTPS เป็น HTTP

ผลลัพธ์ของการตรวจสอบความปลอดภัยอิสระ

Netatoo ได้รับคะแนน "A" จากบริการอิสระ securityheaders.io ที่ช่วยตรวจสอบองค์ประกอบต่างๆ ที่มีการติดตั้ง คุณสามารถเรียกใช้การทดสอบตามคำขอสำหรับ ballejaune.com และ openresa.com และดูรายงานด้วยตัวคุณเอง เรายังสนับสนุนให้คุณเปรียบเทียบการทดสอบกับเว็บไซต์อื่นๆ ที่คุณใช้หรือมีแผนจะใช้

เซิร์ฟเวอร์โฮสต์แอปพลิเคชันของ Netatoo ยังได้รับคะแนน "A+" จากการทดสอบเซิร์ฟเวอร์อิสระ Qualys SSL Labs ซึ่งเป็นมาตรฐานของอุตสาหกรรม คุณสามารถเรียกใช้การทดสอบตามคำขอและดูรายงานด้วยตัวคุณเอง รายงานระบุว่าเราไม่เสี่ยงต่อช่องโหว่ล่าสุดบางอย่าง เช่น BEAST, POODLE และ Heartbleed อีกครั้ง เรายังสนับสนุนให้คุณเปรียบเทียบการทดสอบกับเว็บไซต์อื่นๆ ที่คุณใช้หรือมีแผนจะใช้

การป้องกันการโจมตีและความปลอดภัยของคุกกี้

เพื่อช่วยป้องกันการโจมตีด้วยพจนานุกรม กลไกการเข้าสู่ระบบของเรายังใช้คุณสมบัติการล็อคบัญชีหากมีการป้อนรหัสผ่านเข้าสู่ระบบที่ไม่ถูกต้องหลายครั้ง

คุกกี้ที่ส่งโดยเซิร์ฟเวอร์ไปยังลูกค้าเพื่อการตรวจสอบสิทธิ์และการตรวจสอบคำขอจะถูกทำเครื่องหมายเสมอด้วยแอตทริบิวต์ "HttpOnly" และ "Secure" และค่าของโดเมนและเส้นทางของพวกเขาจะถูกกำหนดอย่างเหมาะสมสำหรับการใช้งานกับ ballejaune.com / openresa.com

ความปลอดภัยของการชำระเงินออนไลน์

ในเรื่องของการชำระเงินออนไลน์ Netatoo ปฏิบัติตามมาตรฐาน PCI ในทางปฏิบัติ การชำระเงินทั้งหมดจะถูกดำเนินการโดยตรงกับเกตเวย์การชำระเงินที่คุณเลือก (PayPal, Paybox Verifone) ดังนั้นรายละเอียดการชำระเงินที่ละเอียดอ่อนจะไม่สัมผัสกับระบบที่เป็นของ Netatoo (แทนที่จะถูกเปลี่ยนเส้นทางอย่างโปร่งใสไปยังเกตเวย์ของคุณและจัดการผ่านวิธีการที่ใช้โทเค็น)

ความปลอดภัยของอีเมลธุรกรรม

อีเมลธุรกรรมที่ส่งโดยบริการของเราใช้คุณสมบัติความปลอดภัยล่าสุดสำหรับการตรวจสอบอีเมล ซึ่งรวมถึงนโยบายที่ถูกต้องของ SPF, DKIM และ DMARC ในกรณีของ DMARC นโยบายที่เผยแพร่ของเราขอให้เซิร์ฟเวอร์ของผู้รับกักกันข้อความทั้งหมดที่ไม่ผ่านการทดสอบ DMARC คุณสมบัติเหล่านี้เป็นเครื่องมือขั้นสูงที่ช่วยป้องกันการส่งสแปม การปลอมแปลง และการโจมตีแบบฟิชชิ่ง แน่นอนว่าเรายังรวมลิงก์ยกเลิกการสมัครในอีเมลทั้งหมดที่เราส่ง และเราได้ติดตั้งระบบจำกัดอัตราเพื่อช่วยป้องกันการโจมตีด้วยการทิ้งระเบิดอีเมล

แนวปฏิบัติด้านความปลอดภัยภายในที่ Netatoo

ในระดับองค์กร พนักงานของ Netatoo มีการเข้าถึงข้อมูลที่จำกัดตามหลักการความปลอดภัย "ต้องรู้" และ "สิทธิพิเศษน้อยที่สุด" ระบบการพัฒนาและการทดสอบถูกปรับใช้บนเครือข่ายภายในที่ไม่สามารถเข้าถึงได้จากภายนอก โค้ดต้นฉบับของแอปพลิเคชันได้รับการจัดการในที่เก็บส่วนตัวและไม่มีข้อมูลที่ละเอียดอ่อน (เช่น คีย์ API รหัสผ่าน หรือสตริงการเชื่อมต่อ)

การติดตามความพร้อมใช้งานของบริการ

ในกรณีที่เกิดเหตุการณ์ (เช่น แอปพลิเคชันล่ม ประสิทธิภาพลดลง หรืออื่นๆ) คุณสามารถติดตามสถานะของบริการของเราผ่าน Pingdom ได้ที่: http://stats.pingdom.com/rn0d9ch52vnj/1678478

การอัปเดตและแนวปฏิบัติที่ดีอย่างต่อเนื่อง

สุดท้าย เราให้ความสำคัญอย่างยิ่งกับการอัปเดตเซิร์ฟเวอร์และระบบภายในของเราเป็นประจำเพื่อให้มีการแก้ไขความปลอดภัยล่าสุด เราเปลี่ยนรหัสผ่านของเราทุก 60 วัน และเราใช้การยืนยันตัวตนแบบสองปัจจัยในแอปพลิเคชันและบริการของบุคคลที่สามเกือบทั้งหมดที่เราใช้ในงานของเรา

สรุป

เราหวังว่าข้อมูลเหล่านี้จะช่วยให้คุณเข้าใจกลไกความปลอดภัยหลักที่ Netatoo ใช้เพื่อรักษาความปลอดภัยข้อมูลของคุณ เราตรวจสอบขั้นตอนการรักษาความปลอดภัยของเราอย่างต่อเนื่อง ดังนั้นข้อมูลเหล่านี้อาจเปลี่ยนแปลงได้ในอนาคตเมื่อเราตอบสนองต่อการเปลี่ยนแปลงของภูมิทัศน์ด้านความปลอดภัย

ติดต่อเรา

ที่อยู่ไปรษณีย์:
Netatoo SAS - BP 43606 - 54016 NANCY CEDEX FRANCE

อีเมล:
support@openresa.com

อัปเดตเมื่อ วันพฤหัสบดีที่ 12 มิถุนายน ค.ศ. 2025
เงื่อนไข & นโยบายความเป็นส่วนตัว
ไทย (TH)