ความปลอดภัย
หัวข้อทั้งหมดในหน้านี้
การรักษาความปลอดภัยที่ Opn Payments
ลูกค้าให้ความไว้วางใจ Opn Payments ในการเก็บข้อมูลที่มีความละเอียดอ่อน และคาดหวังให้เราปฏิบัติตนอย่างถูกต้องรวมถึงรักษาข้อมูลดังกล่าวตามมาตรฐานความปลอดภัยระดับสูงสุด ในฐานะที่เราเป็นผู้ให้บริการรับชำระเงิน เรามีความมุ่งมั่นที่จะรักษาความปลอดภัยให้เป็นไปตามมาตรฐานสูงสุดอยู่เสมอ รวมถึงพัฒนาอย่างต่อเนื่องเพื่อให้สอดคล้องกับข้อกำหนดในอุตสาหกรรมการเงินที่มีการเปลี่ยนแปลงอยู่ตลอดเวลา
มาตรฐานความปลอดภัย
PCI DSS
Opn Payments ได้การรับรองมาตรฐานความปลอดภัย PCI DSS Service Provider Level 1 ซึ่งเป็นมาตรฐานความปลอดภัยระดับสูงสุดในอุตสาหกรรมการประมวลผลข้อมูลธุรกรรม
ตรวจสอบใบรับรองของเราได้ที่ Visa’s Global Registry of Service Providers ศึกษาข้อมูลเพิ่มเติมเกี่ยวกับ PCI-DSS ได้ที่ www.pcisecuritystandards.org/pci_security
NIST
Opn Payments มีมาตรการรักษาความปลอดภัยของข้อมูลที่สอดคล้องกับแนวทางของ National Institute of Standards and Technology (NIST) Cybersecurity Framework และเป็นไปตามมาตรฐานที่[เคร่งครัดของลูกค้าระดับองค์กร
การรักษาความปลอดภัยของข้อมูล
องค์กรของเรามีนโยบายการปกป้องข้อมูลส่วนบุคคลและการรักษาความปลอดภัยของข้อมูลที่เป็นไปตามกรอบกฎหมายที่เกี่ยวข้องทั้งหมด ได้แก่ PDPA, GDPR และอื่นๆ หากต้องการศึกษาข้อมูลเพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยของข้อมูลของเรา โปรดไปที่นโยบายความเป็นส่วนตัว
เพื่อลดโอกาสการรั่วไหลของข้อมูล เราได้กำหนดนโยบายการเก็บรักษาข้อมูลที่ลดปริมาณข้อมูลที่เราเก็บรักษาให้น้อยที่สุดโดยยังคงปฏิบัติตามข้อกำหนดของกฎหมายและความต้องการทางธุรกิจ
ความปลอดภัยของผลิตภัณฑ์
ความปลอดภัยเป็นปัจจัยสำคัญที่เราพิจารณาในการออกแบบผลิตภัณฑ์และโครงสร้างระบบของ Opn Payments
การยืนยันตัวตน
แดชบอร์ดของเรารองรับการยืนยันตัวตนแบบหลายขั้นตอน (MFA) และใช้มาตรการการจัดการบัญชีที่ปลอดภัยในการเพิ่มสมาชิกทีม คำขอความช่วยเหลือจากผู้ใช้จะต้องได้รับการตรวจสอบก่อนจึงจะได้รับการตอบกลับ
การจำกัดสิทธิ์เข้าถึง
ผู้ใช้สามารถกำหนดสิทธิ์การเข้าถึงได้หลายรูปแบบในหน้าแดชบอร์ดเพื่อจำกัดการเข้าถึงของพนักงานตามความจำเป็นเท่านั้น
นอกจากนี้ ผู้ใช้ยังสามารถตรวจสอบบันทึกกิจกรรมและการเปลี่ยนแปลงที่สำคัญในบัญชี เช่น เซสชันการเข้าใช้งาน เพื่อตรวจสอบการเข้าสู่ระบบของผู้ใช้ รวมถึงเวลาและตำแหน่งที่ตั้งของการเข้าสู่ระบบ
การเชื่อมต่อที่ปลอดภัย
Opn Payments บังคับใช้ HTTPS อย่างเข้มงวดในทุกบริการที่ใช้ Transport Layer Security (TLS) ซึ่งรวมถึงเว็บไซต์และแดชบอร์ดของเรา นอกจากนี้ เรายังตรวจสอบการจัดทำระบบอย่างรอบคอบในทุกด้าน ทั้งใบรับรอง หน่วยงานที่ออกใบรับรอง ไปจนถึงการเข้ารหัสที่รองรับ
การสื่อสารระหว่างเซิร์ฟเวอร์ถึงเซิร์ฟเวอร์ทั้งหมดได้รับการปกป้องด้วย mutual Transport Layer Security (mTLS) และเรายังบล็อกคำขอผ่านเวอร์ชันของ TLS ที่ล้าสมัยหรือมีความปลอดภัยต่ำ โดยบังคับให้ใช้ TLS 1.2 หรือสูงกว่าเพื่อให้การเชื่อมต่อที่ราบรื่นที่สุด
การพัฒนาผลิตภัณฑ์
วิศวกรของเราทำงานร่วมกับผู้เชี่ยวชาญด้านความปลอดภัยตั้งแต่ระยะต้นของโปรเจกต์ โดยรวบรวมข้อกำหนดด้านความปลอดภัย แล้วจึงทำตามขั้นตอนต่างๆ เช่น การจำลองภัยคุกคาม (Threat Modeling) รวมถึงตรวจสอบแนวทางปฏิบัติเพื่อความปลอดภัยเพื่อให้แน่ใจว่าผลิตภัณฑ์ใหม่ได้รับการพัฒนาอย่างปลอดภัย
โค้ดทั้งหมดของเราผ่านการตรวจสอบจากหลายฝ่ายและการทดสอบซอฟต์แวร์อัตโนมัติ
เราใช้กระบวนการพัฒนาที่ปลอดภัยซึ่งสแกนการเปลี่ยนแปลงทั้งหมดเพื่อค้นหาช่องโหว่ด้านความปลอดภัย เราใช้เครื่องมือต่างๆ ในการวิเคราะห์โค้ด ได้แก่ Static Code Analysis, Dependency Scanning และ Automated Vulnerability Scanner เพื่อตรวจสอบว่าการเปลี่ยนแปลงโค้ดไม่ได้ทำให้เกิดบั๊ก
โครงการรายงานช่องโหว่และการให้ค่าตอบแทน
เรามีโครงการ Bug Bounty Program ที่มอบค่าตอบแทนให้กับนักวิจัยด้านความปลอดภัยที่ช่วยให้เราสามารถรักษาความปลอดภัยให้กับผลิตภัณฑ์ได้ โปรดไปที่ HackerOne เพื่อดูข้อมูลเพิ่มเติมเกี่ยวกับวิธีการเข้าร่วมและส่งรายงานข้อผิดพลาด
โครงสร้างระบบและกระบวนการรักษาความปลอดภัย
เราทำการสแกนช่องโหว่และการทดสอบเจาะระบบอย่างสม่ำเสมอ รวมถึงร่วมมือกับบริษัทด้านความปลอดภัยเพื่อรับการประเมินโดยบุคคลที่สามเพื่อช่วยให้เราแก้ไขปัญหาที่พบได้อย่างรวดเร็ว ระบบของเราได้รับการดูแลตรวจสอบอยู่ตลอดเวลา นอกจากนี้ เรายังทำการอัพเกรดระบบปฏิบัติการของเซิร์ฟเวอร์ล่วงหน้าก่อนการสิ้นอายุการใช้งาน (End-of-Life) เพื่อให้แน่ใจว่าเราจะได้รับคุ้มครองอย่างต่อเนื่องจากภัยด้านปลอดภัยที่อาจเกิดขึ้น
การเก็บรักษาข้อมูลบัตร
ระบบของเรามีการเข้ารหัสข้อมูลที่มีความอ่อนไหวทั้งในระหว่างการถ่ายโอนและการจัดเก็บ โครงสร้างระบบสำหรับการจัดเก็บ ถอดรหัส และส่งข้อมูลหมายเลขบัญชีหลัก (PAN) อย่างหมายเลขบัตรเครดิต ทำงานในสภาพแวดล้อมที่แยกต่างหากและไม่แชร์ข้อมูลกับบริการอื่นๆ ของเรา
การเข้าถึงสภาพแวดล้อมที่แยกต่างหากนี้ถูกจำกัดเฉพาะกับวิศวกรบางรายและได้รับการตรวจสอบอย่างสม่ำเสมอ
ข้อมูลหมายเลขบัตรทั้งหมดที่อยู่ในการจัดเก็บจะถูกเข้ารหัสด้วย AES-256 และมีการทำ Tokenization นอกจากนี้ คีย์ในการถอดรหัสถูกจัดเก็บในโมดูลเข้ารหัสที่แยกออกไป และไม่มีเซิร์ฟเวอร์ภายในอื่นใดที่สามารถเข้าถึงข้อมูลบัตรในรูปแบบข้อความปกติได้
การรักษาความปลอดภัยในองค์กร
เราใช้ SSO, การยืนยันตัวตนแบบ Two-Factor Authentication (2FA) โดยใช้โทเคนที่เป็นฮาร์ดแวร์ และ mTLS ที่ใช้ VPN จากแมชชีนของ Opn Payments เพื่อยืนยันตัวตนของพนักงาน เมื่อเชื่อมต่อกับเครือข่าย ระบบภายในที่มีความละเอียดอ่อนและระบบที่อยู่นอกขอบเขตงานโดยทั่วไปของพนักงานจะต้องมีการขอสิทธิ์การเข้าถึงเพิ่มเติม
เราตรวจสอบบันทึกเพื่อตรวจจับความผิดปกติ รวมถึงเฝ้าระวังการบุกรุกและกิจกรรมที่น่าสงสัย เราเก็บข้อมูลเกี่ยวกับแล็ปท็อปของ Opn Payments เพื่อตรวจหากระบวนการที่เป็นอันตราย การเชื่อมต่อกับโดเมนปลอม และกิจกรรมของผู้บุกรุกอยู่ตลอดเวลา
การควบคุมสิทธิ์เข้าถึง
เรามีระเบียบในการให้สิทธิ์ในการเข้าถึงระบบและข้อมูล รวมถึงตรวจสอบและลบสิทธิ์การเข้าถึงที่ไม่ได้ใช้งานอย่างสม่ำเสมอ นอกจากนี้ เรายังเฝ้าสังเกตกิจกรรมอย่างต่อเนื่องเพื่อระบุว่ามีการเข้าถึงอะไรบ้างและเข้าถึงโดยใคร
วัฒนธรรมและความเข้าใจเรื่องความปลอดภัย
เราบังคับให้พนักงานทุกคนเข้าร่วมการอบรมเรื่องความปลอดภัยในทุกเดือน รวมถึงจัดการอบรมการพัฒนาซอฟต์แวร์ที่มีความปลอดภัยให้แก่วิศวกร เราทดลองทำการโจมตีแบบฟิชชิงภายในองค์กรเพื่อทดสอบว่าพนักงานรู้เท่าทันกลอุบายฟิชชิงหรือไม่ นอกจากนี้ เรายังโครงการภายในอื่นๆ เช่น โครงการผู้นำด้านความปลอดภัย เพื่อเสริมสร้างวัฒนธรรมความปลอดภัยของบริษัท
หากคุณมีคำถามเพิ่มเติมหรือต้องการทราบข้อมูลเพิ่มเติมเกี่ยวกับวิธีการจัดการความปลอดภัยที่ Opn Payments โปรดติดต่อเราที่ security@opn.ooo