Skip to Content

Category Archives: Digital Business

สตรีมฯ พร้อมให้บริการระบบ “e-Withholding Tax” สำหรับธนาคารและผู้ให้บริการทางการเงิน

     สตรีมฯ พร้อมให้บริการจัดทำ “e-Withholding Tax” ระบบการหักภาษี ณ ที่จ่าย และนำส่งข้อมูลการหักภาษี ณ ที่จ่าย แบบอิเล็กทรอนิกส์ สำหรับกลุ่มธนาคารและผู้ให้บริการทางการเงิน!!

หลังจากที่กรมสรรพากรได้มีมาตรการคืนสภาพคล่องให้แก่ผู้ประกอบการในประเทศ และพยายามผลักดันให้ผู้ประกอบการ จ่ายและนำส่งภาษีแบบ e-Withholding Tax โดยจะได้ลดหย่อนอัตราภาษีเงินได้หัก ณ ที่จ่าย จาก 3% เหลือ 2% ในช่วงวันที่ 1 ตุลาคม 2563 – 31 ธันวาคม 2564 อีกด้วย

 

วัตถุประสงค์หลักของ e-Withholding Tax

  • เพื่ออำนวยความสะดวกในด้านภาษีและเอกสารธุรกรรมอิเล็กทรอนิกส์
  • ผู้ประกอบการไม่ต้องยื่นแบบแสดงรายการภาษีหัก ณ ที่จ่ายและไม่ต้องออกหนังสือรับรองหัก ณ ที่จ่าย (เอกสาร 50 ทวิ) อีกต่อไป เนื่องจากการจัดการภาษีเงินได้หัก ณ ที่จ่าย จะเกิดขึ้นไปพร้อม ๆ กับการชำระเงิน
  • ผู้ประกอบการ/ผู้เสียภาษีจะสามารถตรวจสอบข้อมูลการหัก ณ ที่จ่ายและการถูกหัก ณ ที่จ่ายของตนเองในระบบของกรมสรรพากรได้
  • ลดต้นทุนการทำธุรกิจในระยะยาว

 

     สถาบันการเงินและผู้ให้บริการทางการเงิน ถือเป็นกุญแจสำคัญ เนื่องจากทำหน้าที่เป็นตัวแทนนำส่งข้อมูลไปยังกรมสรรพากรแทนผู้ประกอบการ จึงควรเตรียมพร้อมจัดทำระบบการหักภาษี ณ ที่จ่าย และนำส่งข้อมูลการหักภาษี ณ ที่จ่าย แบบอิเล็กทรอนิกส์ให้สมบูรณ์ เพื่อรองรับความต้องการนำส่งที่อาจมากขึ้นในอนาคต

 

     สตรีมฯ เราจัดทำระบบการหักภาษี ณ ที่จ่าย และนำส่งข้อมูลการหักภาษี ณ ที่จ่าย แบบอิเล็กทรอนิกส์ (e-Withholding Tax) ให้กับกลุ่มธนาคาร

 

จุดเด่นของระบบ “e-Withholding Tax”

  1. การรับและส่งไฟล์จำนวนมากหรือไฟล์ขนาดใหญ่ โดยกำหนดตารางเวลาทำงานอัตโนมัติตามรอบหรือระยะเวลา
  2. มีการเข้ารหัสข้อมูล ช่วยรักษาข้อมูลต่าง ๆ ให้มีความปลอดภัย และรองรับมาตรการตามกฎหมาย
  3. มีการรองรับรูปแบบของข้อมูลหลากหลาย ได้แก่ Domestic, Cross-border, BP256 และ Bank statements พร้อมตรวจสอบความถูกต้องของข้อมูลตามที่กำหนดไว้ในระบบ รวมถึงเติมเต็มข้อมูลให้ครบถ้วนก่อนส่งไปยังกรมสรรพากร
  4. กำหนดผู้เข้าถึงระบบและสิทธิ์การใช้งานได้
  5. ตรวจสอบสถานะการทำงานในแต่ละขั้นตอนตั้งแต่จัดเตรียมข้อมูล จัดส่งไปยังกรมสรรพากร และผลการตรวจสอบจากกรมสรรพากร ได้ทั้งแบบไฟล์และแบบรายการ
  6. สามารถกำหนดการแจ้งเตือนให้ผู้ใช้งานในแต่ละขั้นตอนได้
  7. จัดทำรายงานการเข้าระบบของผู้ใช้งาน รายงานการจัดเตรียมข้อมูล และรายงานผลการตรวจสอบจากกรมสรรพากร

 

เหตุใดถึงควรเลือกสตรีมฯ

  • สตรีมฯ มีประสบการณ์กว่า 10 ปี ในการทำโซลูชั่นรับส่งไฟล์แบบ Host-to-Host (H2H) โดยเฉพาะในกลุ่มธนาคาร
  • บริษัทได้รับการรับรองมาตรฐานการทำงานจาก ISO9001:2015 และ ISO27001
  • เราร่วมพัฒนาและติดตั้งโครงการของกรมสรรพากร ในโครงการพัฒนาระบบการนำเข้าและคัดแยกข้อมูลการชำระเงินแบบอิเล็กทรอนิกส์ และยังเป็น Service Provider ของกรมสรรพากร ในโซลูชั่น e-Tax Invoice
  • ทีมงานที่ปรึกษามีความเชี่ยวชาญ สามารถแนะนำขั้นตอนการลงทะเบียนให้กับผู้นำส่งข้อมูลได้
  • ระบบเสถียร มีประสิทธิภาพ นำส่งข้อมูลรวดเร็ว และมีความปลอดภัยขั้นสูง
  • มีการตรวจสอบข้อมูลที่นำเข้าระบบและนำส่งให้ถูกต้อง ครบถ้วน

 

หากธนาคารหรือผู้ให้บริการด้านการเงิน สนใจทำโซลูชั่น e-Withholding Tax สามารถติดต่อได้ที่ Marketing@stream.co.th หรือโทร. 02-679-2233 ค่ะ

0 0 Continue Reading →

ธุรกิจไม่สะดุด รับส่งไฟล์ไม่ติดขัด ด้วยโซลูชั่น Data Gateway

หลายธุรกิจที่ต้องรับส่งข้อมูลจำนวนมาก ไม่ว่าจะเป็นการรับส่งข้อมูลภายในองค์กร หรือระหว่างองค์กร อาจเคยเผชิญปัญหาในการส่งไฟล์จำนวนมากหรือไฟล์ขนาดใหญ่ที่ติดขัด หากระบบ down ต้องเริ่มรับส่งใหม่ตั้งแต่ต้น ทำให้ข้อมูลสำคัญส่งถึงปลายทางล่าช้ากว่ากำหนด

 

สตรีมฯ เข้าใจปัญหานี้ดี เรามีโซลูชั่นเกี่ยวกับ Data Gateway ในการรับส่งข้อมูลให้หลายองค์กร ด้วยซอฟต์แวร์ “IBM Sterling Connect:Direct” ซึ่งเป็นซอฟต์แวร์ Managed File Transfer ที่พัฒนาต่อยอดจาก FTP (File Transfer Protocol) โดยเพิ่มฟังก์ชั่นความปลอดภัยของข้อมูล การ monitor และฟังก์ชั่นอื่น ๆ ซึ่งจะทำงานโดยการรับส่งไฟล์แบบ peer-to-peer หรือระหว่าง node ในการรับส่งไฟล์ระหว่างองค์กร

 

ข้อดีของ Sterling คือ

  1. กำหนดตารางเวลาทำงานอัตโนมัติ ตั้งค่าจุด checkpoint สำหรับเริ่มต้น download ใหม่ และการกู้คืนแบบอัตโนมัติ เพื่อช่วยให้มั่นใจได้ว่าจะสามารถส่งมอบไฟล์ได้อย่างแน่นอน
  2. มีการเข้ารหัสข้อมูล ช่วยรักษาข้อมูลส่วนตัวของผู้ใช้งาน และรองรับมาตรการตามกฎหมาย
  3. จัดการงานได้ตามความต้องการ ตั้งแต่ไฟล์ขนาดเล็ก ๆ จำนวนมาก ไปจนถึงไฟล์ขนาดหลาย Gigabyte
  4. ลดระยะเวลาในการติดตั้งหรือการแพตช์ จากหลักชั่วโมงเป็นหลักนาที โดยการติดตั้งบน Certified Container ที่รองรับได้หลากหลาย protocol เช่น FTP, FTPS, SSH/SFTP, HTTP, HTTPS, IBM® Sterling Connect:Direct®, IBM®Sterling Connect:Direct® Secure Plus, WebDAV, SOAP, ODETTE
  5. รองรับการติดตั้งและใช้งานหลายระบบปฏิบัติการ ได้แก่ Windows, UNIX, Linux, IBM z/OS, OpenVMS, i5/OS, HP

 

ด้วยข้อดีต่าง ๆ บวกกับความปลอดภัยเชื่อถือได้ของระบบ ทำให้เชื่อมั่นว่าโซลูชั่นนี้จะตรงกับความต้องการในการรับส่งข้อมูลขององค์กรทั้งหลายมากยิ่งขึ้นกว่าแบบ FTP โดยเฉพาะภาคธนาคาร ซึ่งมีข้อมูล transaction จำนวนมหาศาลในแต่ละวัน แล้วส่งข้อมูลต่อให้ปลายทาง

ตัวอย่างโครงการที่เราทำ ได้แก่ โครงการพัฒนาระบบการนำเข้าและคัดแยกข้อมูลการชำระเงินแบบอิเล็กทรอนิกส์ ภายใต้แผนยุทธศาสตร์ National e-Payment ให้กับหน่วยงานราชการแห่งหนึ่ง เพื่อให้สามารถรับข้อมูล transaction จากธนาคารและสถาบันการเงินอื่น ๆ ที่เป็นตัวแทนในการชำระภาษี กว่า 70 สถาบัน

สนใจใช้ IBM Sterling Connect:Direct ติดต่อได้ที่อีเมล Marketing@stream.co.th หรือโทร. 092-283-5904 นะคะ

0 0 Continue Reading →

ปรับกระบวนการทำงานขององค์กรอย่างไรให้ปัง – RPA นวัตกรรมตัวช่วยสุดล้ำ

ทุกวันนี้โลกของเราพัฒนาไปข้างหน้าอย่างต่อเนื่อง วิธีการทำงานของผู้คนก็เปลี่ยนแปลงไป จากแต่เดิมเราใช้แรงงานของคนในการทำงาน ก็พัฒนาสิ่งต่าง ๆ มาทดแทนและเสริมสร้างกระบวนการทำงานให้มีประสิทธิภาพสูงขึ้น ทุกวันนี้มีการใช้หุ่นยนต์ และปัญญาประดิษฐ์ (AI) เข้ามาช่วยในการทำงานของผู้คนอย่างมาก ที่เกริ่นมานี้ เพราะเรามีเทคโนโลยีหนึ่งที่อยากแนะนำให้ทุกท่านรู้จักคือ “Robotic Process Automation” หรือเรียกย่อ ๆ ว่า “RPA” ซึ่งแน่นอนว่าเทคโนโลยีนี้จะช่วยให้กระบวนทำงานของท่านเป็นระบบและง่ายขึ้น

RPA เป็น software solution ที่มีความสามารถในการทำงานแทนมนุษย์ ข้อดีหลัก ๆ ของ RPA ก็คือการลดความผิดพลาดที่เกิดจากมนุษย์ (Human Error) ลดระยะเวลาทำงานลง และทำให้ได้ผลลัพธ์ของงานในปริมาณที่มากยิ่งขึ้น โดยที่การทำงานแทนของ RPA จะทำงานบน software อื่น ๆ บนเครื่องคอมพิวเตอร์ ใช้งานร่วมกับโปรแกรมต่าง ๆ เช่น Microsoft Excel, Web browser หรือแม้กระทั่ง SAP GUI ก็สามารถใช้ได้

งานที่เหมาะจะนำ RPA มาใช้ คือเนื้องานที่มีการทำซ้ำเป็นประจำทุกวัน หรืองาน routine โดยการทำงานของ RPA นั้น ควรตั้งอยู่บนเงื่อนไขที่ไม่ซับซ้อนมากเกินไป เพื่อให้การทำงานของ RPA มีความลื่นไหล และรวดเร็ว

ขอยก use case เพื่อช่วยอธิบายข้อดีของ RPA ให้เห็นภาพชัด ๆ สมมติว่า ณ บริษัทหนึ่งได้มีงานประเภท Finance เยอะมาก การทำงาน Finance ในส่วนของงาน Payment Process ใช้คนในการทำงานมากกว่า 20 คน เพื่อทำงานดังกล่าวให้เสร็จสิ้นใน 1 วัน แต่หลังจากนำ RPA มาประยุกต์ใช้ในงานนี้แล้ว จะสามารถลดปริมาณคนลงเหลือเพียงไม่กี่คน เพื่อตรวจสอบข้อมูลผิดปกติ ซึ่งเป็นปัญหาให้ไม่สามารถทำงานได้ตามกระบวนการเท่านั้น

จะเห็นว่าการนำ RPA เข้ามาใช้ ทำให้งานที่ใช้คนทั้งหมดกว่า 20 คนนั้น สำเร็จได้ด้วย RPA เพียงตัวเดียว ช่วยลดปัญหาและต้นทุนขององค์กรได้เป็นอย่างดี อีกทั้งองค์กรก็สามารถให้พนักงานที่เคยดูแลส่วนนี้ ย้ายไปทำหน้าที่ส่วนอื่นในองค์กร เป็นการผลักดันองค์กรให้เติบโตมากขึ้นได้

สำหรับองค์กรที่อยากทราบข้อมูลของ RPA ให้มากขึ้น ทางสตรีมฯ สามารถให้คำปรึกษา วางแผน ไปจนถึงติดตั้งระบบ และดูแลระบบของท่านให้ดำเนินการเป็นปกติเรียบร้อย สนใจติดต่อฝ่ายการตลาด อีเมล Marketing@stream.co.th หรือโทร. 02-679-2233

0 0 Continue Reading →

NDID มีแล้วดีอย่างไร? ใครได้รับประโยชน์บ้าง?

เมื่อพูดถึงหนึ่งในเทคโนโลยีกำลังเป็นที่จับตามอง ต้องมีเรื่องของ NDID หรือ National Digital Identity ซึ่งก็คือระบบการพิสูจน์และยืนยันตัวตนทางดิจิทัล โดยมีการเก็บข้อมูลที่ระบุอัตลักษณ์หรือคุณลักษณะของแต่ละบุคคล แล้วสร้างระบบเชื่อมโยงข้อมูล เชื่อมต่อระหว่างหน่วยงานต่างๆ เพื่อสร้างมาตรฐานการพิสูจน์และการยืนยันตัวตนร่วมกันทั้งประเทศไทย เป็นการยกระดับการทำธุรกรรมต่างๆ ให้มีความน่าเชื่อถือมากยิ่งขึ้น และสะดวกสำหรับบุคคลทั่วไปในการยืนยันตัวตนกับสถาบันต่างๆ ไม่ว่าจะเป็น ภาคธนาคาร ภาครัฐ รวมไปถึงภาคเอกชน

ภายใต้ระบบการพิสูจน์ตัวตนนี้ มีองค์ประกอบหลักๆ 3 ส่วนด้วยกัน ได้แก่
1. Identity Provider (IDP) ผู้ทำหน้าที่สำคัญในการเป็นผู้พิสูจน์และยืนยันตัวตน และเป็นผู้รับลงทะเบียนยืนยันการพิสูจน์ตัวตนให้กับผู้ที่จะขอใช้ข้อมูล อาทิเช่น กรมการปกครอง หรือธนาคาร เป็นต้น

2. Authoritative Source (AS) กลุ่มผู้ให้บริการข้อมูลของลูกค้าตามที่ร้องขอ เช่น ข้อมูลเครดิตแห่งชาติ, ข้อมูลธุรกรรมทางการเงิน, ข้อมูลด้านสุขภาพ เป็นต้น ซึ่งข้อมูลจะถูกตรวจสอบ ต้องผ่านสถานะการยืนยันตัวตนและยินยอมให้ใช้ข้อมูล จึงจะสามารถให้ผู้ใช้บริการเข้าถึงได้

3. Relying Party (RP) กลุ่มผู้ให้บริการในการทำธุรกรรมต่างๆ เช่น ธนาคารให้บริการเปิดบัญชี, การขอสินเชื่อ, สมัครบัตรเครดิต หรือบริษัทหลักทรัพย์ ให้บริการเปิดบัญชีซื้อขายหลักทรัพย์ เป็นต้น ซึ่งจะสามารถดึงข้อมูลในรูปแบบดิจิทัลไปใช้ได้เมื่อมีการติดตั้งระบบ NDID

ทั้งนี้ ข้อสำคัญคือการจะเข้าถึงข้อมูลต้องได้รับการยินยอมจากเจ้าของข้อมูลก่อนทุกครั้ง ล้อกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สำหรับบุคคลทั่วไป การทำธุรกรรม เช่น การเปิดบัญชีใหม่กับธนาคาร จะต้องมีระบบการยืนยันตัวตน (Know Your Customer: KYC) เช่น ขอบัตรประชาชนและเอกสารอีกมากมาย รวมถึงเอกสารที่ต้องกรอก ณ สาขา เพื่อเปิดบัญชี นอกจากเรื่องเอกสารแล้ว ผู้เปิดบัญชียังต้องเสียเวลาในแต่ละขั้นตอนด้วย

ในมุมของธนาคาร ธนาคารมีต้นทุนที่ให้บุคลากรมาทำการเปิดบัญชีให้กับผู้เปิดบัญชีทีละคนๆ หากลองคำนวณเล่นๆ ว่าแต่ละวันพนักงานธนาคารหน้าเคาท์เตอร์คนหนึ่ง ทำงาน 8 ชั่วโมง และการเปิดบัญชีใหม่ ก็เสียเวลาครึ่งชั่วโมงหรือมากกว่านั้น นั่นแปลว่าใน 1 วัน พนักงานหนึ่งคนสามารถบริการลูกค้าได้เพียงไม่กี่คนเท่านั้น เป็นการสิ้นเปลืองแรงงานและค่าใช้จ่ายของธนาคารอย่างมาก

แต่หากธนาคารมีการใช้งาน NDID และทำหน้าที่เป็น IDP เพื่อจัดทำข้อมูลในการพิสูจน์และยืนยันตัวตนของลูกค้า และมีการจัดทำระบบ e-KYC ขึ้นมา ซึ่งก็มีค่าใช้จ่ายในการลงทุนทางด้านซอฟต์แวร์และฮาร์ดแวร์ ยกตัวอย่างเช่น การทำ Facial Recognition และ Hardware Security Module (HSM) แต่ความคุ้มค่าหลังจากธนาคารมีระบบนี้แล้วคือ ธนาคารเรียกใช้ข้อมูลลูกค้าระหว่างสำนักงานใหญ่กับสาขาต่างๆ ด้วย ทำให้ลูกค้าผู้ใช้งานธนาคารนั้นๆ ได้รับความสะดวกสบายเนื่องจากไม่ต้องวุ่นวายเรื่องเอกสาร และยังสามารถให้ข้อมูลที่มีการยินยอมให้ใช้งานจากลูกค้าเพื่อนำไปสร้างรายได้ เมื่อมีหน่วยงานอื่นที่มีการเชื่อมต่อเข้ากับ NDID ต้องการการขอใช้ข้อมูลดังกล่าว

โดยหากลูกค้าประสงค์ที่จะเปิดบัญชีที่ธนาคารอื่นๆ ที่ยังไม่เคยมีการเปิดบัญชีมาก่อน หากธนาคารนั้นๆ มีเชื่อมต่อกับ NDID และทำหน้าที่เป็น IDP  ก็จะสามารถขอใช้ข้อมูลการพิสูจน์และยืนยันตัวตนจาก IDP ของธนาคารที่ลูกค้าเคยให้การยินยอม และขอข้อมูลเฉพาะจาก AS ได้ ทำให้ไม่ต้องเสียเวลาในการขอเอกสารจากลูกค้าใหม่ นั่นคือข้อดีของระบบ NDID

ถ้าพูดง่ายๆ NDID ก็เปรียบเสมือนเป็นถนนในการเชื่อมต่อข้อมูลระหว่างองค์กร โดย RP ไม่จำเป็นต้องมีข้อมูลของลูกค้าเอง แต่สามารถไปเรียกใช้ข้อมูลจากองค์กรที่เป็น IDP และ AS ให้บริการข้อมูลลูกค้า เช่น จากบัญชีของธนาคารอื่นที่ผู้เปิดบัญชีมีข้อมูลอยู่แล้ว และลูกค้ายินยอมให้ใช้ข้อมูล ซึ่งก็จะทำให้ผู้เปิดบัญชีใหม่ สามารถเปิดบัญชีได้ง่ายๆ ผ่านแอปพลิเคชั่นในมือถือ ในเวลาเพียงไม่ถึง 5 นาที

ในช่วงแรกของโครงการ NDID นี้ เริ่มจากในเฟสแรก ที่ธนาคารใช้เทคโนโลยี Facial Recognition ในกระบวนการ KYC เพื่อเปิดบัญชี ในปัจจุบันเราอยู่ในเฟสสอง ซึ่งเป็นการพิสูจน์และยืนยันตัวตนข้ามธนาคารผ่าน NDID หลังจากนี้มีความเป็นไปได้ที่จะต่อยอดไปสู่เรื่องของการตรวจเครดิตบูโร (National Credit Bureau: NCB) หรือ Statement นอกจากนี้ ภาครัฐยังสามารถใช้ประโยชน์จาก e-KYC และ NDID ได้อีกมาก เช่น กระทรวงสาธารณสุขสามารถนำ e-KYC ไปใช้ในการจัดทำข้อมูลสุขภาพของประชาชน เพื่อให้ประกันสามารถดึงข้อมูลไปใช้ เป็นต้น

สำหรับองค์กรที่อยากทราบข้อมูลของ NDID ให้มากขึ้น ทางสตรีมฯ สามารถให้คำปรึกษา วางแผน ไปจนถึงติดตั้งตัวระบบ และดูแลระบบของท่านให้ดำเนินการเป็นปกติเรียบร้อย เรามีประสบการณ์ในการทำ NDID ให้กับธนาคารชั้นนำ สนใจติดต่อฝ่ายการตลาด โทร. 092-283-5904 อีเมล Marketing@stream.co.th

0 1 Continue Reading →

พ.ร.บ. คุ้มครองข้อมูลฯ ใกล้ครบกำหนด 1 ปี! รีเช็คว่าคุณพร้อมแล้วหรือยัง

ใกล้ครบกำหนด 1 ปี ที่ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 จะเริ่มมีผลบังคับใช้ ปลายเดือนพฤษภาคม 2563 นี้แล้ว เชื่อว่าหลายองค์กร ต่างก็เตรียมความพร้อมและเร่งมือในการทำตามข้อกำหนด

Blog ก่อนหน้านี้ เราได้พูดถึงสาระสำคัญในพ.ร.บ. ที่เกี่ยวกับสิทธิ์ของเจ้าของข้อมูลและสิ่งที่ผู้เก็บข้อมูลพึงกระทำและระวังเพื่อไม่ให้เป็นการละเมิดกฎหมาย ซึ่งมีบทลงโทษทั้งทางแพ่งและทางอาญา

ในภาคนี้ เราจะเน้นเรื่องคนในองค์กร ก่อนอื่นเราต้องเช็คว่า หน่วยงานของคุณเข้าข่ายต้องทำตาม พ.ร.บ. นี้หรือไม่

ใน พ.ร.บ. ได้ระบุหน้าที่ของผู้ที่มีส่วนสำคัญ 3 ฝ่าย ได้แก่
1. ผู้ควบคุมข้อมูลส่วนบุคคล (Data Controller) เป็นบุคคลหรือนิติบุคคลซึ่งมีอำนาจหน้าที่ตัดสินใจ เกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคล
2. เจ้าหน้าที่คุ้มครองข้อมูลส่วนบุคคล (Data Protection Officer: DPO) เป็นผู้ที่องค์กรจะต้องแต่งตั้งขึ้นมา หากเป็นหน่วยงานรัฐหรือหน่วยงานที่มีข้อมูลส่วนบุคคลจำนวนมาก หรือมีการใช้ข้อมูลส่วนบุคคลที่ sensitive
3. ผู้ประมวลผลข้อมูลส่วนบุคคล (Data Processor) เป็นบุคคลหรือนิติบุคคลซึ่งดำเนินการเกี่ยวกับการเก็บรวบรวม ใช้ หรือเปิดเผยข้อมูลส่วนบุคคลตามคำสั่งหรือในนามของผู้ควบคุมข้อมูลส่วนบุคคล ทั้งนี้ บุคคลหรือนิติบุคคลซึ่งดำเนินการดังกล่าวจะต้องไม่เป็นผู้ควบคุมข้อมูลส่วนบุคคล

หากจะอธิบายให้เข้าใจง่ายก็คือ ถ้าคุณมีการเก็บและใช้ข้อมูลที่ทำให้สามารถระบุตัวตนได้ อย่าง ชื่อ, เบอร์โทร, รูปภาพ, ประวัติส่วนตัวทุกอย่าง หรือต้องประมวลผลข้อมูลลูกค้าของลูกค้า หรือแม้ธุรกิจจะอยู่นอกประเทศไทย แต่มีการเสนอขายสินค้าให้กับคนในประเทศไทย มีการใช้และรับข้อมูล ไม่ว่าจะผ่านอีเมล เว็บไซต์ โซเชียลมีเดีย ไปรษณีย์ หรือช่องทางอื่นใด ยินดีด้วยค่ะ คุณเข้าข่ายที่จะต้องปฎิบัติตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

ทีนี้แต่ละองค์กรต้องมาดูว่า แผนกใดที่ต้องเกี่ยวข้องกับข้อมูลส่วนบุคคลบ้าง ซึ่งประเด็นหลักที่ต้องพิจารณาคือ “ข้อมูลทุกอย่างที่เก็บและใช้ ต้องได้รับความยินยอมจากเจ้าของข้อมูล” หรือที่เราเรียกว่าการทำ consent ว่าจะเก็บข้อมูลเพื่ออะไร นำไปใช้ทำอะไร มีการแจ้งวัตถุประสงค์ และให้รายละเอียดในการเก็บข้อมูลที่ชัดเจนสำหรับการนำไปใช้แต่ละครั้ง ทั้งยังต้องให้สิทธิ์แก่เจ้าของข้อมูลเมื่อใดก็ตามที่ต้องการถอนความยินยอม

ตัวอย่างข้อมูลส่วนบุคคลที่แต่ละแผนกในองค์กรเกี่ยวข้อง ได้แก่
1. ฝ่ายทรัพยากรบุคคล มีข้อมูลพนักงาน ไม่ว่าจะเป็น ประวัติส่วนตัว ข้อมูลด้านสุขภาพ สัญญาจ้างงาน รวมถึงข้อมูลของผู้สมัครงาน เช่น Resume, CV, ใบสมัคร เป็นต้น
2. ฝ่ายการตลาด และประชาสัมพันธ์ มีการเก็บข้อมูลลูกค้า เช่น ฐานข้อมูลติดต่อ มีการทำแคมเปญและกิจกรรมการตลาด อาทิ การส่งจดหมายข่าว ส่งแบบสอบถาม ส่งหมายเชิญมางานอีเว้นท์ เป็นต้น
3. ฝ่ายขาย มีข้อมูลลูกค้า ข้อมูลผู้สนใจสินค้า
4. ฝ่ายกฎหมาย มีการเขียนสัญญา ข้อตกลง การออกนโยบายต่างๆ ขององค์กร เพื่อรองรับเรื่องความปลอดภัยของข้อมูลส่วนบุคคล
5. ฝ่ายไอที ผู้ดูแลระบบ จะต้องมีมาตรการรักษาความปลอดภัยที่เหมาะสม
ดังนั้นจึงจำเป็นอย่างยิ่งที่จะต้องมีโซลูชั่นด้านความปลอดภัยของข้อมูลที่มารองรับทุกช่องทาง ไม่ว่าจะเป็น Server, Storage, Database, Application, Network Firewall, Website, Email Gateway ฯลฯ

แม้ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลนี้จะส่งผลกับภาพรวมองค์กร เพราะทุกแผนกที่เกี่ยวข้องจะต้องเข้าใจและปฎิบัติตามพร้อมๆ กัน แต่ถ้ามีระบบหลังบ้านที่ดี ก็ย่อมเป็นตัวช่วยสำคัญในการจัดการให้ง่ายและราบรื่นยิ่งขึ้น

สตรีมฯ เราทำด้าน Cybersecurity มายาวนานค่ะ และมีประสบการณ์วางระบบรักษาความปลอดภัยด้านไอทีให้กับหลายภาคส่วน เรามีโซลูชั่นด้านความปลอดภัยของข้อมูลที่ครบครัน มาดูกันว่าเราทำอะไรที่เกี่ยวข้องกับการป้องกันดูแลข้อมูลส่วนบุคคลบ้างค่ะ

สนใจติดต่อฝ่ายการตลาดได้ที่อีเมล Marketing@stream.co.th หรือโทร. 092-283-5904 นะคะ

 

0 0 Continue Reading →

IBM-Stream ผนึกกำลัง ช่วยผู้ประสบปัญหาการส่งไฟล์งานจากการ Work from Home เปิดให้ใช้งาน Aspera ฟรี 90 วัน

บริษัท สตรีมฯ และ ไอบีเอ็ม พาร์ทเนอร์ของเรา เข้าใจถึงปัญหาใหญ่ของการทำงานที่บ้านเป็นอย่างดี เพราะในการทำงานจะมีไฟล์ที่ต้องอัปโหลดและดาวน์โหลดอยู่เสมอ การส่งข้อมูลกันไม่ได้อาจหมายถึงธุรกิจที่ต้องสะดุด ไม่ทันตลาดหรือช้ากว่าคู่แข่งไปหนึ่งก้าว

ดังนั้น เราจึงมีบริการที่ช่วยเหลือธุรกิจต่างๆ โดยไอบีเอ็มได้เปิดให้ลงทะเบียนใช้ Aspera ซึ่งเป็นเทคโนโลยีการรับส่งข้อมูลในเวลาอันรวดเร็ว ฟรี 90 วัน เพื่อช่วยให้การส่งไฟล์ระดับ Gigabyte (GB) หรือ Terabyte (TB) ผ่านอินเตอร์เน็ตเร็วกว่าเดิมสูงสุดถึง 100 เท่า ด้วยมาตรฐานความปลอดภัยระดับโลก

ไม่ว่าจะเป็นไฟล์ MRI, CT Scan หรือแม้แต่ไฟล์วิดีโอขนาดใหญ่ ถึงอินเตอร์เน็ตจะช้า หรือต้องใช้เน็ตมือถือก็ไร้ปัญหา ปัจจุบันหลายค่ายเลือกใช้เทคโนโลยีนี้ในการรับส่งไฟล์ขนาดใหญ่จากภาคสนาม ไม่ว่าจะเป็น ESPN, Fox, HBO, NBC, NBA Network, NFL หรือแม้แต่ช่องทีวีชั้นนำของไทย

ผู้ที่สนใจ สามารถลงทะเบียนได้ฟรี ที่ https://ibm.co/2QoXqEH หรือสอบถามข้อมูลเพิ่มเติมได้ที่ Marketing@stream.co.th หรือโทร. 092-283-5904

0 1 Continue Reading →

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล – ทำอย่างไรให้ทันเวลา!

ในยุค 4.0 ที่ข้อมูลหลาย ๆ อย่างเคลื่อนไหวอยู่บนโลกออนไลน์ ไม่ว่าจะเป็นข้อมูลส่วนตัวอย่าง ชื่อ นามสกุล อีเมล เบอร์โทร รวมถึงประวัติการเข้าถึง เข้าชม ทุกอย่างล้วนถูกจัดเก็บไว้บนโลกออนไลน์ แน่นอนว่าข้อมูลต่าง ๆ ที่กล่าวไปนั้น เป็นข้อมูลที่สามารถนำไปใช้ต่อยอดทำธุรกรรมหรืออื่น ๆ ได้อย่างมากมาย ซึ่งมีทั้งด้านดีและไม่ดี ฉะนั้นเราจึงต้องการตื่นตัวกับการรักษาความปลอดภัยของข้อมูลส่วนบุคคลของตัวเอง ไปจนถึงระดับองค์กรที่เก็บข้อมูลผ่านระบบต่าง ๆ และนำข้อมูลของบุคคลอื่นมาใช้

 

สำหรับประเทศไทยเรา ก็ไม่ได้นิ่งนอนใจกับเรื่องความปลอดภัยของข้อมูล เพราะในช่วงเดือนพฤษภาคมที่ผ่านมา ร่างพระราชบัญญัติคุ้มครองข้อมูลส่วนบุคคล ก็ได้รับความเห็นชอบ เกิดเป็น “พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562” เรามาทำความเข้าใจ พ.ร.บ. ฉบับนี้ว่ามีส่วนใดที่น่าสนใจและจำเป็นต้องคำนึงถึง

พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562

สำหรับ พ.ร.บ. ฉบับล่าสุดนี้ เกิดขึ้นเนื่องจากในปัจจุบันมีหลายองค์กรที่เก็บข้อมูลของลูกค้าไว้เป็นข้อมูลทางดิจิทัล ซึ่งข้อมูลเหล่านี้อาจส่งผลให้เจ้าของข้อมูลถูกล่วงละเมิดสิทธิ์และความเป็นส่วนตัวได้มากขึ้น เป็นเหตุให้รัฐบาลต้องเข้ามาควบคุมดูแล โดยหัวข้อหลัก ๆ ใน พ.ร.บ. ได้แก่

 

  • การรักษาความปลอดภัยของข้อมูล – ผู้เก็บข้อมูลจะเปิดเผยข้อมูลต่าง ๆ ไม่ได้เด็ดขาด หากไม่ได้รับการยินยอม จะต้องมีมาตรการชัดเจนในการรักษาความปลอดภัยของข้อมูลที่เก็บไว้ทั้งในประเทศและต่างประเทศ ถ้าหากมีการโอนข้อมูลไปยังต่างประเทศนั้น ประเทศปลายทางก็จำเป็นที่จะต้องมีระบบรักษาความปลอดภัยด้านข้อมูลที่ได้มาตรฐานเช่นกัน ทั้งนี้จะต้องมีการทำรายงานวัดผลการป้องกันข้อมูลนั้น ๆ

 

  • การชี้แจงวัตถุประสงค์ในการใช้ข้อมูล – ผู้เก็บข้อมูลจะต้องไม่นำข้อมูลที่เก็บไว้ไปใช้นอกเหนือจากที่ได้ทำการชี้แจงกับเจ้าของข้อมูล ในการเก็บข้อมูลทุกส่วน ผู้ที่ทำการเก็บข้อมูลจะต้องชี้แจงอย่างชัดเจนว่าจะนำไปใช้ในส่วนใดบ้าง ไม่ว่าจะเป็นการใช้งานหรือการนำไปเปิดเผยก็ตาม

 

  • เจ้าของข้อมูลมีสิทธิ์ในการเรียกร้อง – เจ้าของข้อมูลนั้น ๆ สามารถติดต่อองค์กรหรือบุคคลที่ทำการเก็บข้อมูลได้ตลอด โดยสิทธิ์ในส่วนนี้รวมไปถึงสิทธิ์ในการขอเข้าถึงและขอสำเนาข้อมูลส่วนบุคคลของตนเอง อีกทั้งยังสามารถขอให้เปิดเผยที่มาในการได้รับข้อมูลจนกระทั่งเรียกร้องให้ทำการลบทำลายข้อมูลดังกล่าวได้อีกด้วย โดยผู้เก็บข้อมูลนั้นต้องปฏิบัติตามอย่างเคร่งครัด ห้ามปฏิเสธแต่อย่างใด ยกเว้นจะมีคำสั่งศาลให้ปฏิเสธเท่านั้น

 

  • มีบทลงโทษทางอาญาหากเปิดเผยข้อมูลโดยไม่ได้รับการยินยอม – หากผู้เก็บข้อมูลไม่ทำตามกฎข้อบังคับดังกล่าว หรือมีการละเมิด มีการเปิดเผยข้อมูลโดยไม่ได้รับการยินยอมจากเจ้าของข้อมูล ก็มีสิทธิ์ที่จะต้องโทษทางอาญาได้ โดยบทลงโทษคือการจำคุก 6 เดือน ถึง 1 ปี หรือปรับไม่เกิน 500,000 บาท หรือทั้งจำทั้งปรับ

 

จากข้อกำหนดข้างต้นที่ให้องค์กรหรือผู้ที่มีหน้าที่เก็บรวบรวมข้อมูล การใช้งาน หรือมีการเปิดเผยข้อมูลส่วนบุคคลต่าง ๆ นั้น จะต้องได้รับความยินยอมจากเจ้าของข้อมูลอย่างชัดเจนเสียก่อนจึงจะนำข้อมูลส่วนนั้นไปใช้งานได้ ดังนั้นผู้ที่ได้รับผลกระทบที่สุดนั้นก็คือองค์กรทุกภาคส่วน ซึ่งให้เวลาองค์กรในการเตรียมแผนรับมือเพียง 1 ปี ตั้งแต่ออก พ.ร.บ. โดยจะมีผลบังคับใช้ตั้งแต่วันที่ 28 พฤษภาคม พ.ศ.2563

ฉะนั้น ภายใต้เนื้อหาของ พ.ร.บ. ฉบับนี้ บุคคลากรภายในองค์กรจำเป็นอย่างยิ่งที่จะต้องศึกษารายละเอียดในส่วนนี้ให้ถี่ถ้วนและให้ความร่วมมือ เพื่อหลีกเลี่ยงหรือลดความเสี่ยงที่อาจจะเกิดภัยคุกคามนั้นขึ้น ในฐานะที่ Stream เรามีความเชี่ยวชาญในการเป็นที่ปรึกษาด้านไอทีมาอย่างยาวนานกว่า 20 ปี และมีโซลูชั่นด้านความปลอดภัยของข้อมูลและระบบไซเบอร์แบบครบวงจร พร้อมให้บริการองค์กรของคุณ

 

โซลูชั่นของเราครอบคลุมทุกมิติ ได้แก่

 

  • Data Security Platform ช่วยปกป้องข้อมูลไม่ให้รั่วไหล ด้วยการเข้ารหัสข้อมูล เพื่อเพิ่มความปลอดภัยในการเข้าถึงข้อมูลขั้นสูง และยังช่วยในการบริหารจัดการผู้ที่จะเข้าถึงข้อมูล เพื่อดูหรือใช้ข้อมูลดังกล่าว โดยการแบ่งระดับของ user รวมไปถึง admin แต่ละคน ให้มีสิทธิ์ในการเข้าถึงข้อมูลที่แตกต่างกัน
    นอกจากนั้นยังมั่นใจได้ว่า ระบบของเรามีการบริหารจัดการ key (กุญแจดิจิทัล) เพื่อให้มั่นใจว่ากุญแจของแต่ละ ระบบ อาทิ Database, File Server และ Cloud อยู่ในที่ปลอดภัย และยังสามารถใช้เป็นระบบตรงกลางที่เชื่อมต่อกับระบบอื่น ๆ ได้อย่างสะดวก รวมถึงสามารถเข้ารหัสข้อมูลได้พร้อมกันทั้งหมด ไม่ต้องทำทีละ application จึงลดต้นทุนและสะดวกในการบริหารจัดการ เหมาะอย่างยิ่งกับองค์กรที่กำลังมองหาโซลูชั่นที่ตอบโจทย์ตาม พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคลแบบครบวงจร

 

  • Privileged Access Security สถิติข้อมูลรั่วไหล (Data breach) ในปี 2561 ที่ผ่านมา พบว่าข้อมูลที่รั่วไหลเกิดขึ้นจากการถูกโจมตีในรูปแบบที่พบมากที่สุดคือการขโมยตัวตน (Identity Theft) หรือการถูกปลอมแปลงสิทธิ์เพื่อเข้าถึงระบบขององค์กรนั่นเอง เพราะฉะนั้นเพื่อเป็นการปกป้องและควบคุมสิทธิ์การเข้าถึงหรือ Privileged Account ที่ใช้ในการเข้าถึงระบบสำคัญขององค์กร ไม่ว่าจะเป็นเซิร์ฟเวอร์ ฐานข้อมูล หรือแอปพลิเคชัน เพื่อเป็นช่องทางในการเข้าถึงข้อมูลส่วนบุคคล และเนื่องจากในปัจจุบันการโจมตีในรูปแบบที่พบมากเป็นลำดับต้น ๆ คือการโจมตีด้วยสิทธิของผู้ดูแลระบบหรือสิทธิสูงสุดของระบบ โดยผู้โจมตีจะพยายามขโมยรหัสผ่านของระบบสำคัญ ๆ ภายในองค์กร และพยายามกระจายตัวอยู่ในองค์กรให้ได้นานที่สุด (Lateral Movement) เพื่อเสาะหาข้อมูลสำคัญ เช่น ข้อมูลทางการเงิน, ข้อมูลพนักงาน, ข้อมูลลูกค้า เป็นต้น จากนั้นจึงขโมยข้อมูลออกไปเปิดเผยและสร้างความเสียหายต่อองค์กรต่อไป โดยโซลูชั่นนี้จะสามารถเปลี่ยนรหัสการใช้งานได้ตามนโยบายขององค์กร ควบคุมสิทธิ์ในการใช้งานระบบให้สามารถใช้งานได้โดยผู้ที่ได้รับอนุญาตเท่านั้น ยกเลิกใช้รหัสผ่านตั้งต้น และมีการเปลี่ยนรหัสผ่านของผู้ดูแลระบบอย่างสม่ำเสมอ รวมไปถึงสามารถเก็บบันทึกการเข้าถึงระบบในรูปของ Log และวิดีโอซึ่งสามารถดูย้อนหลังได้ นอกจากนี้ยังมีฟังก์ชั่นการวิเคราะห์พฤติกรรมการเข้าถึงระบบต่าง ๆ ของผู้ดูแลระบบ (Admin Behavior Analytics) เพื่อตรวจจับและป้องกันเหตุไม่พึงประสงค์ที่อาจเกิดขึ้นได้อย่างทันท่วงที ทั้งยังสามารถแจ้งเตือนและหยุดการใช้งาน Privileged Account ที่ผิดปกติได้อีกด้วย นอกจากนี้โซลูชั่นนี้จะรองรับการปกป้อง Privileged Account ทั้งบนระบบที่เป็น On-premises และระบบ Cloud ขององค์กร รวมไปถึงสามารถปกป้อง Credentials ของแอปพลิเคชั่นเชิงธุรกิจและภัยคุกคามอันเนื่องมาจาก Robotic Process Automation ได้อีกด้วย

 

 

  • DNS Security Assessment and Data Exfiltration ป้องกัน Malware ที่มาใช้ DNS Server เป็นช่องทางในการโจรกรรมข้อมูลสำคัญ โดยเมื่อใดที่ Malware ได้เข้ามาฝังตัวในองค์กรแล้ว และเข้าถึงข้อมูลสำคัญขององค์กรรวมถึงข้อมูลส่วนบุคคล มันก็จะเริ่มการปฏิบัติการโดยติดต่อสื่อสารกลับไปยัง C&C Server เพื่อหวังจะขโมยข้อมูลสำคัญนั้นส่งออกไปข้างนอกองค์กร ผ่านช่องทาง DNS ที่เป็นจุดเปราะบาง โซลูชั่น DNS Security Assessment and Data Exfiltration จะช่วยทำให้ DNS เปลี่ยนบทบาทจากการเป็นเป้าโจมตีและช่องทางการจารกรรม มาเป็นผู้ป้องกันการโจมตี ด้วยการตรวจจับความไม่ชอบมาพากลทั้งหลาย ไม่ว่าจะเป็นในระดับ Signature Based, Reputation Based รวมถึง Behavior Based ด้วย โดยการใช้ AI และ Machine Learning ที่ติดตั้งสำเร็จมากับ DNS เพื่อตรวจจับพฤติกรรมที่ผิดปกติ จะปกป้องการถูกหลอกให้เข้าถึงไซต์อันตรายต่างๆ และป้องกันระบบ DNS ที่สำคัญขององค์กร โดยจะบล็อกการเข้าถึงโดเมนหรือไซต์ที่อันตรายตั้งแต่ก่อนเริ่มต้นการเชื่อมต่อกับไซต์เหล่านั้น รวมทั้งยังสามารถสกัดอุปกรณ์ที่ติดมัลแวร์ในการรับส่งข้อมูล C&C Server ของแฮกเกอร์ตั้งแต่เริ่มแรก และยังสามารถป้องกันการรั่วไหลของข้อมูลออกสู่ภายนอกผ่านทาง DNS Query อีกด้วย

 

  • Vulnerability Risk Management (VRM) เพื่อป้องกันภัยคุกคามที่เกิดจากช่องโหว่ของระบบ ทุกวันนี้ Attacker ที่เข้ามาขโมยข้อมูลอันสำคัญไปนั้นจำนวนไม่น้อยมาจากการเจาะระบบเข้ามาผ่านช่องโหว่ของระบบเอง ซึ่งถ้าไม่มีการบริหารจัดการช่องโหว่ที่ดีพอ ไม่มีการมั่นตรวจสอบ อัปเดท ประเมินช่องโหว่บนระบบอย่างสม่ำเสมอ เพื่อวางแผนดำเนินการปิดช่องโหว่ที่พบเหล่านั้นด้วยการ Patching ย่อมเกิดเป็นความเสี่ยงในการตกเป็นเป้าหมายของกลุ่ม Attacker ได้เป็นอย่างดีทีเดียว

 

  • Web Security เพื่อป้องกันผู้ใช้จากภัยคุกคามบนอินเตอร์เน็ต และช่วยให้องค์กรสามารถบังคับใช้นโยบายเพื่อควบคุมการเข้าถึงอินเตอร์เน็ตเว็บไซต์ตามข้อกำหนดต่างๆ ขององค์กรได้
    รวมถึงใช้ตรวจสอบการใช้งานของบุคคลากรภายในองค์กรโดยจะมีการทำ Logging ไว้เพื่อตรวจสอบการโพสข้อมูลอันระบุไว้ใน พ.ร.บ.
    ไม่ว่าจะเป็นข้อความ รูปภาพ ไฟล์วิดีโอ ออกไปเผยแพร่บนเว็บไซต์ ว่าเกิดจากบุคคลใด เกิดขึ้นเมื่อไหร่ ด้วยวิธีการหรืออุปกรณ์อะไร ทั้งนี้จะต้องสามารถระบุตัวตนผู้กระทำ และทำการเก็บข้อมูลไว้ยืนยันการกระทำเหล่านั้นได้ และตัวระบบจะสามารถปกป้องมิให้เกิดการกระทำความผิดดังกล่าวในการเผยแพร่ออกไปสู่ภายนอกเพื่อปกป้ององค์กร และเพื่อความปลอดภัยในกรณีเครื่องภายในองค์กรถูกใช้เป็นเครื่องมือของผู้ไม่หวังดีด้วย

 

  • Email Security เป็นการรักษาความปลอดภัยด่านแรกบนระบบเครือข่ายขององค์กรซึ่งทำหน้าที่เพื่อปกป้องมิให้ Mail Domain หรือ Mail server หยุดชะงักหรือกระทำการส่ง Email อันเป็นการก่อกวน สร้างความรำคาญ (Spam) ให้ผู้อื่น ลดจำนวนอีเมล์สแปมที่ไม่ต้องการ และสามารถตรวจสอบแนวโน้มที่จะเกิดขึ้นในอนาคตได้ด้วย นอกจากนี้ยังมีระบบอัพเดตข้อมูลสแปมและไวรัสอัตโนมัติ รวมทั้งยังสามารถป้องกันปัญหาการโจมตีในรูปแบบต่าง ๆ ได้อีก และระบบรักษาความปลอดภัยอีเมลยังได้รับการเสริมด้วยระบบเข้ารหัสอีเมล์เพื่อเป็นการป้องกันข้อมูลสำคัญไม่ให้รั่วไหล หรือการแอบอ้างใช้ชื่อโดเมนอีเมลอีกด้วย ทั้งนี้ยังรวมไปถึงการตรวจสอบการปกป้องอีเมลอันตรายที่ส่งเพื่อโจมตี ยึดเครื่อง หรือขโมยข้อมูลบนเครื่องของผู้ใช้งานได้ เป็นลักษณะการส่งไฟล์อันตราย หรือ Phishing Mail ซึ่งก็คือ ภัยอินเตอร์เน็ตที่ใช้วิธีการสร้างอีเมล์ต่าง ๆ หรือเว็บไซต์ปลอมขึ้นมา เพื่อหลอกล่อให้ผู้ใช้งาน เกิดความสับสนในการใช้เว็บ หลงเข้ามาทำธุรกรรมต่าง ๆ บนเว็บไซต์ปลอม ทำให้เจ้าของเว็บปลอมนั้นได้ข้อมูลส่วนตัวที่ผู้ใช้กรอกให้ไป

 

  • Intrusion Prevention System (IPS) เพื่อปกป้องไม่ให้บุคคลากรภายในองค์กรเอง หรือผู้มีความประสงค์ร้ายกระทำการนำเครื่องลูกข่ายภายในองค์กรไปทำการโจมตีเป้าหมายในรูปแบบต่าง ๆ หรือทำให้ผู้อื่นเดือดร้อน ระบบเกิดความเสียหาย ระบบหยุดชะงัก ชะลอ โดนขัดขวาง โดยอุปกรณ์จะทำการปกป้องภัยอันตราย จากความเสียหายที่จะเกิดขึ้น และช่วยตรวจสอบภัยคุกคามจากภายใน รวมทั้งกรณีเป็นผู้สร้างความเสียหายต่อภายนอกด้วย

 

  • Data Encryption เพื่อปกป้องข้อมูลสำคัญของคุณด้วยการเข้ารหัสข้อมูลในรูปแบบไฟล์ โฟลเดอร์ ข้อมูลที่จัดเก็บอยู่บน Disk, Storage อุปกรณ์ต่าง ๆ ไม่ว่าจะเป็น Server, Desktop, Laptop, Tablet, Smartphone รวมถึงข้อมูลที่อยู่บน Cloud Storage โดยกำหนดบังคับใช้นโยบายด้านความปลอดภัยจากศูนย์กลางอย่างมีประสิทธิภาพเพื่อป้องกันข้อมูลรั่วไหล

 

Cybersecurity

  • Security Information and Event Management (SIEM) เพื่อตอบโจทย์การเก็บข้อมูลการจราจรจากทุก ๆ อุปกรณ์ในระบบเครือข่าย โดยจะแบ่งการเก็บข้อมูลทั้ง ผู้ใช้ และช่วงเวลาที่ใช้ โดยอุปกรณ์ที่ต้องมีเป็นอย่างน้อยเพื่อให้ได้ข้อมูลตามที่พรบ.ต้องการ เช่น การตรวจสอบการเข้าออกระบบเครือข่าย (Firewall), การตรวจสอบการเข้าออก Web Site (Proxy), การยืนยันตัวตนเข้าระบบหรือใช้งาน (Authenticate), การแจก IP ของระบบ (DHCP & DNS), การตรวจสอบการใช้งาน Email (Email Security Gateway) เป็นอย่างน้อย

 

ด้วยโซลูชั่นด้านความปลอดภัยทางไอทีข้างต้นทั้งหมดของ สตรีม ไอ.ที. คอนซัลติ้ง จะทำให้องค์กรเตรียมพร้อมและรับมือกับ พ.ร.บ. คุ้มครองข้อมูลส่วนบุคคล พ.ศ. 2562 ได้อย่างทันท่วงทีแน่นอน

 

หากท่านต้องการทราบข้อมูลเพิ่มเติม หรือสนใจโซลูชั่นด้านดิจิทัลอื่น ๆ สามารถติดต่อได้ที่ marketing@stream.co.th หรือโทร. 02-679-2233

0 5 Continue Reading →

Data Protection

ในโลกปัจจุบันเทคโนโลยีเป็นสิ่งที่สำคัญมากและขับเคลื่อนไปอย่างรวดเร็ว ข้อมูลในยุคแห่งเทคโนโลยีนี้จึงจำเป็นจะต้องมีการเข้ารหัสเพื่อป้องกันไม่ให้ข้อมูลถูกโจรกรรมโดยผู้ไม่หวังดี ซึ่งการเข้ารหัสนั้นมีได้หลากหลายวิธี หนึ่งในทางเลือกที่จะช่วยป้องกันข้อมูลไม่ให้รั่วไหลออกไปนั่นก็คือเครื่อง KeySecure จาก Gemalto และยังช่วยบริหารจัดการสิทธ์ในการเข้าถึงข้อมูล รวมไปถึงการบริหารจัดการ key ที่ใช้ในการเข้ารหัสและถอดรหัสด้วย

KeySecure สามารถใช้ร่วมกับการทำงานที่หลากหลายตามแต่ธุรกิจและความต้องการของลูกค้า โดย KeySecure หนึ่งเครื่องสามารถใช้ร่วมกับหลายระบบงานได้ดังนี้

1. การเข้ารหัสข้อมูลในระดับ Application (Protect Application)

การเข้ารหัสข้อมูลที่ส่งจาก Application เพื่อเพิ่มความปลอดภัยของข้อมูลโดยใช้ KeySecure ในการเข้ารหัส ก่อนจะนำข้อมูลมาจัดเก็บใน database ข้อมูลที่ถูกเข้ารหัสด้วย Key จะไม่สามารถนำไปถอดได้ แม้จะมี KeySecure เครื่องอื่น เพราะ Key ทุก Key จะต้องมี Owner และ password

 

2. การเข้ารหัสข้อมูลสำคัญในระดับคอลัมน์ของ database (Protect Database)

การเข้ารหัสแบบนี้จะช่วยในเรื่องความเร็วและเพิ่มความปลอดภัยในการเข้าถึงข้อมูลในระดับคอลัมน์ที่เป็นข้อมูล Sensitive และยังควบคุมด้วยสิทธิ์ที่เข้าถึงด้วย KeySecure

 

3. การแปลงข้อมูลที่ส่งมาให้เป็นข้อมูลที่ไม่ใช่ข้อมูลจริง (Tokenization)

Tokenization เป็นการเข้ารหัสอีกหนึ่งรูปแบบ ที่ใช้เทคโนโลยีทั้งการเข้ารหัส(Encryption) และการใช้กระบวนการ hash เพื่อที่จะปกปิดข้อมูลสำคัญให้มีความปลอดภัยมากยิ่งขึ้น

 

4. การกำหนด permission ในการเข้าถึงข้อมูลโดยผ่านการเข้ารหัส (Protect File)

KeySecure สามารถนำเทคโนโลยีที่เรียกว่า Protect file มาเข้ารหัส file, folder ซึ่งการกำหนดสิทธิ์ในการเข้าถึงนี้จะมีการเข้ารหัสด้วย key และ สิทธิ์ user ที่อยู่บน KeySecure นอกจากนี้ Protect File ยังสามารถนำมาใช้งานร่วมกันกับ Hadoop ซึ่งเป็นหนึ่งใน Software ที่ใช้การจัดการข้อมูลที่เรียกกันว่า Big Data

 

5. การเข้ารหัสข้อมูลของ VMware (ProtectV)

KeySecure มีเทคโนโลยีที่ช่วยในการเข้ารหัส VMware ที่เรียกกันว่า ProtectV ซึ่งการเข้ารหัส VMware สามารถป้องกันข้อมูลทั้งบน cloud และ local เพื่อที่จะป้องกัน VMware ซึ่งอาจจะถูก copy ไปใช้ที่อื่นด้วยจุดประสงค์ที่ไม่ดี หรืออาจจะมีข้อมูลใน VMware ที่สำคัญไม่อาจเปิดเผยได้

Written by Mr. Teerachai Joyseekate (Ton)

Senior Solutions Specialist

หากต้องการทราบข้อมูลเพิ่มเติม หรือสนใจโซลูชันด้านดิจิทัล ติดต่อ marketing@stream.co.th โทร. 02-679-2233

0 0 Continue Reading →

Downtime Prevention Guide – Part 2

QUESTIONS to help you choose the right availability protection for your applications.

Fault tolerance without modifications—Applications deployed on a Stratus ftServer system are fault-tolerant without the need for any modifications. This reduces development and test cycles and enables the widest range of applications to run in a fault-tolerant mode.

 

Question 4

Can your solution integrate seamlessly into existing computing environments with no application changes required?

 

Some availability solutions integrate more easily into existing computing environments than others. Certain solutions may require that you make changes to your existing applications — a process that is time-consuming and typically requires specialized IT expertise. For example, high availability clusters may need cluster specific APIs to ensure proper failover. If ease of deployment and management are top priorities for your organization, you may want to consider a fault-tolerant solution that allows your existing applications to run without the risk and expense associated with modifications, special programming, and complex scripting.

 

Question 5

Does your solution require any specialized skills to install, configure and/or maintain?

 

In addition to a solution’s recovery times and ease of integration, it is important to understand exactly what is involved in deploying and managing various availability alternatives. Some are simple to implement and administer while others demand specialized IT expertise and involve significant ongoing administrative effort. For example, deployment of high availability clusters requires careful planning to eliminate single points of failure and to properly size servers. Plus, whenever you make changes to hardware or software within the cluster, best practices suggest that you update and test failover scripts — a task that can be both time consuming and resource intensive. Some planned downtime is typically required to conduct the tests and ensure that the environment is working correctly.

 

Other solutions provide a more plug-and-play approach to availability. Today’s fault-tolerant approaches prevent downtime without the need for failover scripting, repeated test procedures, or any extra effort required to make applications cluster-aware. With fault-tolerant solutions, your applications run seamlessly with no need for software modifications or special configuration changes. Fault-tolerant servers even provide a “single system view” that presents and manages replicated components as one system image, thereby simplifying installation, configuration, and management.

 

Before investing in a fault-tolerant solution to protect your critical applications against downtime, take serviceability into account, too. Ask about features like 24/7 system monitoring and automatic problem diagnosis, automated identification of failed components and replacement part ordering, customer-replaceable units with automatic system resynchronization features — all of which help ensure continuous operations and eliminate the need for specialized IT expertise.

 

Question 6

Is your solution future-ready and what is the lifetime value of the investment?

When you invest in an availability solution, it makes good business sense to consider longevity and total cost of ownership. As more organizations rethink their server refresh schedules, they’re looking for platforms that can truly go the distance to maximize return on investment. Therefore, when evaluating solutions, it makes sense to ask vendors about the average lifespan of their products.

 

Research has shown that standard servers tend to experience a marked increase in failure rates, downtime, and support costs between years four and five, prompting organizations to refresh on a four-year cycle. Fault-tolerant servers, however, offer significantly longer life spans — many averaging seven years — without notable performance degradation or higher maintenance costs.

 

Before making your purchase decision, you should also inquire about customer satisfaction ratings and retention rates to verify vendors’ claims and make sure they deliver on their promises.

 

————————————————————————————————————————————————————————–

Conclusion

When it comes to protecting business-critical applications against unplanned downtime, you can’t afford to leave anything to chance. Make sure you ask these key questions as you evaluate vendors’ availability solutions:

  1. What level of uninterrupted application processing can your solution guarantee?
  2. In the event of a server failure, what is the process to restore applications to normal processing operation and how long does it take?
  3. How does your solution protect against loss of in-flight data?
  4. Can your solution integrate seamlessly into existing computing environments with no application changes required?
  5. Does your solution require any specialized skills to install, configure, and/or maintain?
  6. Is your solution future-ready and what is the lifetime value of the investment?

 

Asking vendors the right questions up front will streamline the evaluation process and guide you in selecting the best fit solution to keep your applications up and running in today’s always-on world.

————————————————————————————————————————————————————————–

About Stratus Technologies

Stratus Technologies is the leading provider of infrastructure-based solutions that keep applications running continuously in today’s always-on world.  Stratus enables rapid deployment of always-on infrastructures, from enterprise servers to clouds, without any changes to applications. Stratus’ flexible solutions – software, platform and services – prevent downtime before it occurs and ensure uninterrupted performance of essential business operations.

Written by Dionaro (Dion) Orcullo
System Specialist

For more information, please contact marketing@stream.co.th or call 02-679-2233

0 0 Continue Reading →

Downtime Prevention Guide – Part 1

There are QUESTIONS to help you choose the right availability protection for your applications.

 

Prevention of unplanned downtime is a growing concern in today’s always-on world.  You know you need a way to keep critical applications up and running, but with so many options on the market, how can you determine which availability solution is right for your organization?  This guide presents a series of questions you should ask vendors when evaluating solutions to protect your applications against costly downtime.

 

It highlights key considerations and provides valuable insights into the strengths and limitations of various availability approaches. Vendors’ responses to these questions will enable you to compare solutions and identify those that best meet your availability requirements, recovery time objectives, IT management capabilities, and return on investment goals while integrating seamlessly within your existing IT infrastructure.

 

Question 1

What level of uninterrupted application processing can your solution guarantee?


There are a variety of availability solutions on the market today, each of which delivers a different level of application uptime. When evaluating solutions, it is helpful to ask vendors how many “nines” of availability their offerings provide — a figure that represents the average amount of uptime their customers should expect per year. This is an important first step in determining which solution best meets your organization’s specific requirements.

 

If your availability requirements are relatively low, you may be able to get by using a standard server with duplicate internal components. These servers typically deliver two nines — 99% — or more of availability for the applications running on them, which can result in as much as 87.6 hours of unplanned downtime per year. Continuous data replication delivers three nines — 99.9% availability — which equates to 8 hours and 45 minutes of downtime annually.

 

For those with more rigorous availability requirements, traditional high-availability clusters, which link two or more physical servers in a single, fault-resilient network, get you to 99.95% availability or 4.38 hours of downtime per year. Virtualized high availability software solutions deliver four nines of availability — 99.99% — which reduces unplanned downtime to 53 minutes per annum. Fault-tolerant solutions are often described as providing continuous availability because they are designed to prevent downtime from happening in the first place.

 

Fault-tolerant software and hardware solutions provide at least five nines of availability — 99.999+% — for the minimal unplanned downtime of between two and a half and five and a quarter minutes per year. While fault-tolerant hardware and software solutions both provide extremely high levels of availability, there is a trade-off: fault-tolerant servers achieve high availability with a minimal amount of system overhead to deliver a superior level of performance while fault-tolerant software can be run on industry standard servers your organization may already have in place.

 

Question 2

In the event of a server failure, what is the process to restore applications to normal processing operation and how long does it take?

With most availability solutions, there will be some level of system interruption in the event of a server outage. Therefore, when evaluating solutions, it is important to understand what is involved in restoring applications to normal operations and how long the process takes. If you rely on standalone servers, your recovery time could range from minutes to days given the high level of human interaction required to restore the applications and data from backup — provided you’ve been backing up your system on a regular basis. With high availability clusters, processing is interrupted during a server outage and recovery can take from minutes to hours depending on how long it takes to check file integrity, roll back databases, and replay transaction logs once availability is restored.

 

If the cluster was sized correctly during the initial planning stages, users should not experience slower application performance while the faulty server is out of operation; they may, however, need to rerun some transactions using a journal file once normal processing resumes.

 

Fault-tolerant solutions proactively prevent downtime with fully replicated components that eliminate any single point of failure. Some platforms automatically manage their replicated components, executing all processing in lockstep. Because replicated components perform the same instructions at the same time, there is zero interruption in processing — even if a component fails. This means that, unlike a standalone server or high availability cluster, the fault-tolerant solution keeps on functioning while any issue is being resolved.

 

Question 3

How does your solution protect against loss in-flight data?

When a system outage occurs all data and transactions not yet written to disk are at risk of being lost or corrupted. In the case of some applications, this risk may be tolerable. But when you consider systems that automate functions like building automation and security, public safety, financial transactions or manufacturing processes, the loss of in-flight data can have serious consequences ranging from a scrapped batch or lost revenue to compliance issues or even loss of life.

 

Many availability solutions are not designed to ensure transaction and data integrity in the event of a system failure. Depending on how the hardware is configured, standalone servers and high availability clusters can typically preserve the integrity of database transactions, but any in-memory data not yet written to disk will be lost upon failure. Fault-tolerant solutions are built from the ground up to provide higher levels of data integrity. Fully replicated hardware components and mirrored memory ensure that all in-flight transactions are preserved — even when a hardware component fails.

Written by Dionaro (Dion) Orcullo
System Specialist

For more information, please contact marketing@stream.co.th or call 02-679-2233

0 1 Continue Reading →